DIRECTOR DE LA FCA Mtro. Tomás Humberto Rubio Pérez
SECRETARIO GENERAL
Dr. Armando Tomé González – – – –
COORDINACIÓN GENERAL Mtra. Gabriela Montero Montiel
Jefa del Centro de Educación a Distancia y Gestión del Conocimiento
COORDINACIÓN ACADÉMICA Mtro. Francisco Hernández Mendoza
FCA-UNAM
COORDINACIÓN DE MULTIMEDIOS L. A. Heber Javier Méndez Grajeda
FCA-UNAM – – – –
AUTORES Maricarmen Hernández Cervantes
Espartaco David Kanagusico Hernández Adriana García Vargas
Revisión pedagógica
Mtro. Joel Guzmán Mosqueda
CORRECCIÓN DE ESTILO Mtro. Carlos Rodolfo Rodríguez de Alba
DISEÑO DE PORTADAS
L.CG. Ricardo Alberto Báez Caballero
DISEÑO EDITORIAL
L.D. y C.V. Verónica Martínez Pérez
3
.
Dr. Enrique Luis Graue Wiechers
Rector
Dr. Leonardo Lomelí Vanegas
Secretario General
Mtro. Tomás Humberto Rubio Pérez
Director
Dr. Armando Tomé González
Secretario General
Mtra. Gabriela Montero Montiel
Jefa del Centro de Educación a Distancia
y Gestión del Conocimiento
______________________________________________________ Seguridad informática Cuaderno de actividades
Edición:
D.R. © 2019 UNIVERSIDAD NACIONAL AUTÓNOMA DE MÉXICO
Ciudad Universitaria, Delegación Coyoacán, C.P. 04510, México, Ciudad de México.
Facultad de Contaduría y Administración
Circuito Exterior s/n, Ciudad Universitaria
Delegación Coyoacán, C.P. 04510, México, Ciudad de México.
ISBN:
Plan de estudios 2012, actualizado 2016.
“Prohibida la reproducción total o parcial por cualquier medio sin la autorización escrita
del titular de los derechos patrimoniales”
“Reservados todos los derechos bajo las normas internacionales. Se le otorga el acceso no exclusivo
y no transferible para leer el texto de esta edición electrónica en la pantalla. Puede ser reproducido
con fines no lucrativos, siempre y cuando no se mutile, se cite la fuente completa y su dirección
electrónica; de otra forma, se requiere la autorización escrita del titular de los derechos
patrimoniales.”
Hecho en México
4
OBJETIVO GENERAL
Al finalizar el curso, el alumno tendrá la sensibilidad sobre la importancia que la
seguridad en informática tiene en las organizaciones y obtendrá las bases
académicas y formativas necesarias para identificar, proponer y resolver situaciones
o eventos de carácter de seguridad informática.
TEMARIO OFICIAL
(64 horas)
Horas
1. Introducción a la seguridad informática
(conceptos y definiciones)
6
2. Análisis de riesgos 6
3. Arquitectura y diseño de seguridad 4
4. Criptografía 10
5. Seguridad física 4
6. Seguridad de la red y las telecomunicaciones 14
7. Seguridad de aplicaciones 12
8. Planeación de la continuidad del negocio y de la recuperación
en caso de desastre (BCP/DRP)
4
9. Legislación, regulaciones, cumplimiento e investigación 4
TOTAL 64
5
INTRODUCCIÓN A LA ASIGNATURA
La seguridad en informática dentro de las organizaciones se ha vuelto necesaria,
debido a que una de las herramientas indispensables para sus actividades
cotidianas son los equipos de cómputo y el internet. Aunado a que la información
generada de todas las operaciones de una organización es, en su mayoría o
completamente, almacenada en equipos de cómputo o bien compartida a través de
la red con aquellos autorizados para leerla o modificarla, lo cual implica que están
conectados a la red y, por ende, expuestos a terceros, que no dudarán en obtener
dicha información y explotar alguna vulnerabilidad, ya sea física, dentro de la
organización, para acceder de forma presencial al equipo, o bien, vía remota al
encontrar vulnerabilidades tanto en hardware como software.
Por lo anterior, resulta importante conocer en primera instancia los fundamentos de
la seguridad informática, los servicios de seguridad y los mecanismos de seguridad
para después conocer, comprender e implementar la seguridad de acuerdo a las
necesidades de seguridad detectadas en la organización para proteger sus activos.
Sin olvidar analizar los riesgos, en caso de ocurrir un incidente, para poder realizar
el plan de contingencias y que la organización continúe sus operaciones lo más
pronto posible, minimizando pérdidas económicas, políticas y sociales que la
podrían llevar a desaparecer si sus servicios no fueran restablecidos en el menor
tiempo posible.
6
ESTRUCTURA CONCEPTUAL
UNIDAD 1
INTRODUCCIÓN
A LA SEGURIDAD INFORMÁTICA
(CONCEPTOS Y DEFINICIONES)
8
OBJETIVO PARTICULAR
Al finalizar la unidad, el alumno conocerá los fundamentos y la razón de ser de la
seguridad informática y cómo se aplica en la seguridad de la información.
TEMARIO DETALLADO
(4 horas)
1. Introducción a la seguridad informática (conceptos y definiciones)
1. Conceptos y principios de la administración de la seguridad
2. Evolución histórica de la seguridad
3. Amenazas a la seguridad
4. Control de acceso
5. Hackers, crackers y sus variantes
9
INTRODUCCIÓN
En esta unidad se presenta una breve evolución histórica de la seguridad en
informática, a fin de revisar su importancia para las organizaciones durante el
trascurso del tiempo y los fundamentos de la seguridad en informática, los cuales
han sentado las bases para la creación de arquitecturas que van desde simples a
complejas para proteger los activos de la organización, ya que, en la actualidad, la
seguridad informática es de vital importancia para todas las organizaciones, dadas
las nuevas condiciones e infraestructura de cómputo disponible, así como su
interconexión a través de redes.
En este sentido, surgen nuevas amenazas para los sistemas de cómputo,
resultando importante, para minimizar riesgos conocer y concientizar a cada uno de
los miembros de una organización sobre la importancia y la sensibilidad de la
información y servicios críticos que favorecen el desarrollo de la organización y su
buen funcionamiento.
10
1.1. Conceptos y principios de la administración de la seguridad
Seguridad informática
La seguridad informática es la disciplina que se encarga de proteger los equipos de
cómputo, redes, sistemas informáticos y datos que en ellos se almacenan, de
agentes externos o internos que pudieran dañarlos o robarlos, y de mantenerlos
libres de riesgos.
La seguridad significa seguro; es decir, libre de riesgo.
La seguridad tiene que ver con:
La protección de la información cuando ésta es creada, adquirida,
almacenada o transmitida.
Amenazas, ataques y vulnerabilidades reales y potenciales.
Implementar servicios de seguridad usando mecanismos útiles y eficientes.
Misión de la seguridad informática
Facilitar el cumplimiento de la misión y objetivos de la organización a través de la
implementación de sistemas que consideren los riesgos tecnológicos a los que ésta
se enfrenta manteniendo bajo protección sus recursos e información.
11
Objetivos de la seguridad informática
Preservar la integridad, disponibilidad, confidencialidad y autenticidad de la
información existente y en ejecución dentro de los sistemas informáticos.
Confidencialidad Integridad Autenticidad Disponibilidad
Garantizar que la
información sólo
debe conocerla
quien o quienes
tienen derecho a
ello (autorización).
-Aplica a la
información
durante su:
-Almacenamiento.
-Procesamiento.
-Transmisión.
Garantizar que la
información no
sea alterada, sin
autorización.
Garantizar que la
información
provenga de
fuentes
autorizadas.
Garantizar que la
información sea
utilizada cuando
se requiera por
quien o quienes
tienen derecho a
ello.
Tabla 1.1. Objetivos de la seguridad informática.
El objetivo final de la seguridad es permitir que una organización cumpla con todos
sus objetivos de negocio o misión implementando sistemas que tengan un especial
cuidado y consideración hacia a los riesgos relativos de las TIC de la organización.
Estos objetivos pueden traslaparse o pueden ser mutuamente excluyentes, lo cual
dependerá de las necesidades de la organización.
12
Para lograr los objetivos de la seguridad, son necesarios:
Figura. 1.1. Servicios y mecanismos de seguridad.
Servicios de seguridad
La arquitectura de seguridad OSI (Modelo de Interconexión de Sistemas)
define cinco servicios de seguridad: Confidencialidad, autenticación, integridad,
control de acceso y no repudio. Es preciso anotar que en los documentos ISO 7498-
2 y ITU-T X.800 se establecen los servicios y mecanismos de seguridad
de la arquitectura OSI.
Un aspecto fundamental para los servicios de seguridad es la confidencialidad, que
es el servicio que garantiza que la información sea leída, copiada, eliminada o
modificada por las partes autorizadas.
Los servicios de seguridad: Garantizan en un sistema de información la adquisición, almacenamietno, procesamiento y transmisión de la información a través de los mecanismos de seguridad. Es decir, qué se requiere hacer.
Los mecanismos de seguridad: Son las técnicas mediante las que se implementan los servicios de seguridad. Es decir, cómo lograrlo.
13
De acuerdo a la arquitectura de seguridad OSI, los tipos de servicios
de confidencialidad son:
Figura 1.2 Tipos de servicio de confidencialidad.
Autenticación
Servicio que garantiza que los participantes en una comunicación sean quienes
dicen ser o el origen de los datos sea de donde debe venir.
De acuerdo a la arquitectura de seguridad OSI, los tipos de servicios de
autenticación son:
Figura 1.3 Tipos de servicio de autenticación
Tipos de servicio de
confidencialidad
Orientado a conexión
No orientado a conexión
De campo selectivo
Del flujo de tráfico
Autenticación de identidad
Autenticación de origen de datos.
14
Integridad
Protege la información contra toda acción de inserción, modificación, alteración y
eliminación no autorizada.
De acuerdo a la arquitectura de seguridad OSI, los tipos de servicios de integridad
son:
Orientada a conexión Orientada
Con
Recuperación
Sin
Recuperación
Selectiva
a campos.
Sin conexión Sin conexión
selectiva
a campos
Tabla 1.2. Tipos de servicio de integridad.
Control de acceso
Impide el acceso a la información y usos no autorizados de la misma.
Aquí resulta importante resaltar que existe una relación muy estrecha con la
autenticación, debido a que una persona debe ser autenticada antes de tener
acceso a los activos del sistema.
No repudio
Permite probar la participación de las partes en una comunicación, previniendo que
alguna de ellas niegue haber emitido (cuando sí lo hizo) o recibido un mensaje
(cuando sí lo recibió).
La siguiente tabla muestra los servicios de seguridad por nivel OSI según el
estándar ISO 7498-2.
15
Servicio Capa
1 2 3 4 5/6 7 Autenticación de entidades Y Y Y
Autenticación de origen Y Y Y
Control de acceso Y Y Y
Confidencialidad con conexión Y Y Y Y Y
Confidencialidad de un campo selectivo Y Y Y Y
Confidencialidad de flujo de tráfico Y
Integridad con conexión con recuperación Y Y Y
Integridad con conexión sin recuperación Y Y
Integridad con conexión de un campo selectivo Y Y Y
Integridad sin conexión Y
Integridad sin conexión de un campo selectivo Y Y Y
No repudio del origen Y
No repudio del destinatario Y
Tabla 1.3. Servicios de seguridad por nivel OSI según el estándar ISO 7498-2 (Areitio, 2008, p. 42).
IMPORTANTE: Se deben implementar los 5 primeros servicios para disminuir el
riesgo de sufrir indisponibilidad y éstos se estandarizan en el ISO-7498.
Mecanismos de seguridad
La arquitectura de seguridad OSI define mecanismos de seguridad, los cuales
proporcionan y dan soporte a los servicios de seguridad dividiéndolos en dos tipos:
específicos y generalizados.
16
Mecanismos de seguridad específicos
Utilizados para proporcionar servicios de seguridad concretos, confidencialidad,
integridad, autenticación dentro de un nivel determinado de la arquitectura OSI, a
su vez, estos mecanismos pueden subdividirse en: Cifrado de clave pública o
asimétrica y de clave privada o simétrica, firma digital, basada en criptografía de
clave pública, de control de acceso, de integridad de datos, intercambios de
autenticación, relleno de tráfico, control de encaminamiento y notarización.
Mecanismos de seguridad generalizados
No específicos para servicios concretos como, por ejemplo, responsabilidad,
auditoría, recuperación de la seguridad. Son los que no son propios de ningún nivel
concreto ni servicio de seguridad OSI. A su vez, estos mecanismos pueden
subdividirse en: Funcionalidad de confianza, etiquetas de seguridad, detección de
eventos, registro de auditoría de seguridad y recuperación de la seguridad.
Las siguientes tablas, muestran la relación de los servicios y mecanismos de
seguridad OSI según el estándar ISO 7498-2.
17
Mecanismo Cifrado Firma digital
Control de acceso
Integridad de datos Servicio
Autenticación de entidades Y Y
Autenticación de origen Y Y
Control de acceso Y
Confidencialidad con conexión Y
Confidencialidad sin conexión Y
Confidencialidad de un campo selectivo
Y
Confidencialidad de flujo de tráfico Y
Integridad con conexión con recuperación
Y Y
Integridad con conexión sin recuperación
Y
Integridad con conexión de un campo selectivo
Y Y
Integridad sin conexión Y Y Y Y
Integridad sin conexión de un campo selectivo
Y Y Y
No repudio del origen Y Y
No repudio del destinatario Y Y
Tabla 1.4. Relación de mecanismos de seguridad OSI según el estándar ISO 7498-2.
(Areitio, 2008, p. 32)
18
Tabla 1.5. Relación de servicios de seguridad OSI según el estándar ISO 7498-2. (Areitio, 2008, p. 32)
Servicio Intercambio de autenticación
Control de tráfico
Control de encaminamiento
Notarización
Autenticación de entidades
Y
Autenticación de origen
Control de acceso
Confidencialidad con conexión
Y
Confidencialidad sin conexión
Y
Confidencialidad de un campo selectivo
Confidencialidad de flujo de tráfico
Y Y
Integridad con conexión con recuperación
Integridad con conexión de un campo selectivo
Integridad sin conexión
Integridad sin conexión de un campo selectivo
No repudio del origen Y
No repudio del destinatario
Y
19
1.2. Evolución histórica de la seguridad
a evolución h istor i
Los primeros antecedentes sobre la seguridad en informática se remontan a las
civilizaciones antiguas, pues desde ese entonces se buscaba ocultar información a
terceros. Por ejemplo, los hebreos usaron un método llamado código espejo o Atbas
que es un tipo de cifrado por sustitución, los griegos utilizaron la escítala, el cual era
un cilindro de madera y se le enrrollaba una cinta de papiro o tela donde venía el
mensaje. La scytale permitía realizar un cifrado por transposición, método que
consistía en cambiar el orden de las letras que componen el mensaje a fin de
proteger los mensajes enviados, y así no enviar mensajes en texto claro, que, si por
alguna razón, caían en manos de quien no era el dueño carecerían de sentido.
Por su parte, Julio César enviaba mensajes cifrados a sus comandantes romanos,
haciendo uso del cifrado César, el cual también era un cifrado por transposición,
sólo que el cifrado de César consistía en escribir el mensaje con un alfabeto que
estaba formado por las letras del alfabeto, pero desplazadas tres posiciones a la
derecha.
Otro antecedente, se puede encontrar en el Renacimiento con el cifrado
polialfabético cuyo creador original fue León Batista Alberti, método de cifrado por
sustitución, que más adelante retomó Blaise de Vigenère y creó el cifrado que hoy
se conoce como Vigenère.
Ejemplos como los anteriores, son los primeros cifrados clásicos de transposición y
sustitución.
20
Como puede verse, en las civilizaciones antiguas tuvieron su aparición la
criptografía y el criptoanálisis. Sin embargo, su mayor uso e innovación, se dio
durante el siglo XX con las guerras mundiales, cuando máquinas de cifrado como
Enigma fueron creadas permitiendo obtener bases sólidas para la criptografía y el
criptoanálisis moderno.
Es así como en la década de los 70, se publica el primer algoritmo de cifrado público
(DES) y poco después el algoritmo de llave pública (RSA). Los cuales, desde su
creación hasta la fecha, han ido evolucionando y apareciendo en algoritmos de
cifrado cada vez menos vulnerables.
Ahora bien, para que la seguridad informática se incorporará con sus avances a las
organizaciones, tuvo que ocurrir un cambio de lo que era valioso para las
organizaciones y las personas, ya que la seguridad en las organizaciones, en sus
inicios, estaba enfocada a la seguridad física (inmuebles) y personas,
considerándose éstos como los activos de mayor valor dentro de la organización.
Esta idea tardaría un poco en transformarse hasta comprenderse que los datos y la
información son los activos de mayor valor para una organización pues de ellos
dependen innumerables actividades diarias. Para ello, las organizaciones tuvieron
que pasar por innumerables ataques en sus sistemas de cómputo producidos por
código malicioso que explotaba una o varias vulnerabilidades en dichos sistemas,
llegando así la década de los 80, cuando se acuña el término de virus informático y
el de seguridad informática, pues fue hasta entonces que las organizaciones
reconocieron a los datos y a la información como sus activos de mayor valor y que
al estar almacenados en equipos conectados a la red estaban aún más expuestos
a un ataque.
21
1.3. Amenazas a la seguridad
Amenaza
Cualquier acción con el potencial suficiente para causar un incidente y atentar contra
la seguridad de la información y/o causar pérdidas o daños a un sistema explotando
una vulnerabilidad o inclusive a toda la organización. Por lo anterior es importante
decir que las amenazas son consecuencia de una o varias vulnerabilidades
encontradas y aprovechadas.
Algunos ejemplos de amenazas son:
Figura 1.4. Ejemplos de amenazas.
Desastres naturales
Errores humanos
Fallas internas del hardware o del software
22
Clasificación de las amenazas
Las amenazas de acuerdo a las vulnerabilidades que explotan en los sistemas y el
daño, alteración o intervención que podrían producir sobre la información pueden
clasificarse en amenazas de:
Figura 1.5. Tipos de amenazas.
Amenazas de Interrupción
Cuando un activo del sistema es destruido, se hace no disponible o inutilizable. Se
considera una amenaza a la disponibilidad.
Amenazas
Interrupción
Intercepción
Modificación
Fabricación
A B
23
Ejemplos:
Destrucción y/o inutilización intencional del disco duro.
Borrado de un programa.
Amenazas de intercepción
Cuando un tercero sin autorización logra acceso a un activo del sistema. Se
considera una amenaza a la confidencialidad.
Ejemplos:
Copia de archivos de datos.
Captura de datos en la red usando herramientas como un sniffer.
Amenazas de modificación
Cuando un tercero, sin autorización, logra acceso a un activo del sistema y puede
manipular ese activo corrompiéndolo, se considera una amenaza a la integridad.
A B
C
A B
C
24
Ejemplos:
Cambiar los valores originales de un archivo determinado.
Alterar el funcionamiento de un programa.
Modificar la respuesta enviada a un usuario.
Amenazas de fabricación
Cuando un tercero sin autorización puede fabricar objetos falsos en un sistema. Se
considera una amenaza a la integridad.
Ejemplos:
Inserción de mensajes falsos en un sistema de comunicación en red.
Agregar registros adicionales sin autorización a un archivo determinado.
Las amenazas según su origen, pueden clasificarse en amenazas de:
Software
Físicas
Humanas
A B
C
25
Amenazas de software
Dentro de este tipo de amenazas están los daños causados por el software
malintencionado como:
Virus
Código malicioso incorporado al código default de una aplicación que puede dañar
hardware, software o la información. Para su propagación a otros equipos o
sistemas requiere de la intervención humana.
Gusanos
Código malicioso que no necesita, para su propagación, la intervención humana, lo
hace de forma automática.
Troyanos
Código malicioso que aparenta ser un software útil. Un subtipo de troyano es el
backdoor.
Spyware
Código malicioso, cuyo objetivo es obtener información acerca del usuario del
equipo de cómputo, la cual en ocasiones es entregada a empresas que envían
publicidad sobre los temas de interés de éste o la utilizan para otro fin.
26
Amenazas físicas Amenazas humanas
Dentro de este tipo de amenazas están
los daños causados por razones físicas
y naturales.
Dentro de este tipo de amenazas están
los daños causados por actos humanos,
que pueden afectar la seguridad de un
sistema.
Tabla 1.6. Amenazas físicas y humanas.
Ataques
Un ataque es cualquier acción que explota una vulnerabilidad del sistema de
manera accidental o deliberada materializándose una amenaza.
Un ataque es:
un asalto a la seguridad del sistema derivado de una amenaza inteligente; es decir, un acto inteligente y deliberado (especialmente en el sentido del método o la técnica) para eludir los servicios de seguridad y violar la política de seguridad de un sistema (Stallings, 2004, p. 5).
Un ataque tiene un impacto. Un impacto es la consecuencia de la materialización
de una o más amenazas sobre uno o varios activos aprovechando la vulnerabilidad
del sistema.
De acuerdo con el impacto causado a los activos, los ataques se clasifican en dos
tipos:
Ataques pasivos
Son ataques donde el atacante accede sin autorización, observa comportamientos
o lee información, sin alterar el estado del sistema o la información. Sólo afecta la
confidencialidad del sistema o de la información. Son difíciles de detectar por no
haber alteración en los datos.
27
Ejemplos:
Lectura de mensajes.
Análisis de tráfico.
Ataques activos
Son ataques donde el atacante modifica y/o afecta información y/o estado de
sistema afectando la confidencialidad, integridad y autenticidad de la información o
del sistema.
Ejemplos:
Suplantación.
Réplica y modificación de mensajes.
Negación de servicio.
De acuerdo al elemento que atacan para acceder a los activos, los ataques se
clasifican en cinco tipos:
Figura 1.6. Tipos de ataques.
1.4. Control de acceso
Dentro de la seguridad informática un tema fundamental es controlar técnica, física
o administrativamente, la forma como se accede a los recursos de un sistema o al
sistema, para que puedan ser protegidos de la modificación, eliminación o
divulgación no autorizados.
Definiciones de control de acceso
Término usado para describir el proceso por el cual se puede acceder a
los recursos del sistema o al sistema mismo para protegerlos, a través de
la implementación de políticas de seguridad.
Es el proceso de otorgar o denegar permisos de acceso a un sistema o a
cualquiera de sus recursos con base en un modelo de seguridad, a través
de mecanismos ejecutados por hardware, software y administradores.
30
Componentes del control de acceso
El acceso es la transferencia de información desde un sujeto o principal a un objeto.
Los componentes del control de acceso son el sujeto, el principal y el objeto.
El sujeto es quien recibe, altera o modifica los datos o la información de un objeto y
es una entidad activa representada por un programa, un usuario, un intruso, un
equipo de cómputo o un proceso. El principal es un atributo o propiedad asociada
con un sujeto, por ejemplo, una clave pública o un proceso. Mientras tanto el objeto
es una entidad pasiva representada por un archivo, una base de datos, una
aplicación o medios de almacenamientos, etc.
Para el control de acceso, se requiere la autorización, que es la concesión de
derechos por parte de un propietario de un recurso o sistema a otros usuarios, para
acceder a éstos.
Objetivo
El control de acceso se implementa para asegurar la confidencialidad, la integridad
y la disponibilidad.
31
Características para implementar un buen control de acceso.
Características Descripción
Mínima complejidad Uso de simplicidad en el diseño.
Verificación forzosa Verificación en cada acceso.
Mínimos privilegios Asignar el o los menores privilegios para cada tarea.
Usabilidad Interfaz fácil de usar.
Evitar “security by obscurity” El diseño debe ser público.
La seguridad debe residir en la fortaleza del algoritmo aplicado
y en la llave, no en el hecho de mantenerlo oculto.
Disminución de los errores
en el software
Detectar con anticipación errores que causen problemas
potenciales.
Tabla 1.7. Características para control de acceso. (Areitio, 2008, p. 108)
Modelos de control de acceso
Los diferentes modelos de control de acceso principales son: Control de Acceso
Discrecional (DAC), Control de Acceso Obligatorio (MAC) y Control de Acceso
Basado en Roles. (RBAC).
Control de acceso discrecional (Discretionary Access Control) (DAC).
Modelo que da a los sujetos el control total de los objetos, es un tipo de acceso a
recursos basado en los propietarios y grupos a los que pertenece un objeto, donde
un sujeto, con determinados permisos de acceso, puede pasar esos permisos a
cualquier otro sujeto; es decir, puede cambiar los atributos de seguridad de sus
objetos. Es el modelo menos restrictivo de los tres modelos. Este nivel de control
completo sobre los objetos puede ser peligroso.
32
Sistemas operativos UNIX, Linux y Windows utilizan DAC para su sistema de
archivos.
Control de Acceso Obligatorio (Mandatory Access Control) (MAC)
Modelo que restringe el acceso a los objetos basado en la sensibilidad de la
información contenida en los objetos y la autorización formal de los sujetos al acceso
de dicha información. Se establecen las funciones de los usuarios estrictamente de
acuerdo a lo que indique el administrador, por lo que este método de control de
acceso es restrictivo ya que el usuario final no puede establecer controles de acceso
en los archivos, garantizando así que una política definida se aplique a todos los
usuarios.
Controles de Acceso Basado en Roles (Rule Based Access Control) (RBAC)
Modelo en el que los permisos de acceso a funciones o trabajos específicos dentro
de la organización se otorgan a perfiles o roles. Los usuarios se registran con un
perfil según características y/o responsabilidades con lo que se le concede
privilegios correspondientes.
Capas del control de acceso
Controles administrativos
Son llamados también controles directivos, se implementan mediante la creación y
seguimiento de las políticas, procedimientos o reglamentos organizacionales
necesarios para proteger los activos. La formación de usuarios y la concientización
son ejemplos de este tipo de controles.
33
Controles técnicos
Son implementados mediante software, hardware o firmware que restringe el
acceso lógico en un sistema. Los firewalls, routers y cifrado son ejemplos de este
tipo de controles.
Controles físicos
Son implementados con dispositivos físicos, tales como cerraduras, cercas, puertas,
y los guardias de seguridad para proteger las instalaciones y recursos internos.
Figura 1.7. Controles físicos.
Categorías del control de acceso defensivo
Hay seis tipos de control de acceso:
Controles administrativos
Controles técnicos
Controles físicos
Datos y activos de
la organización
Figura 1.8. Ejemplos de controles de acceso.
Estos seis tipos de control de acceso pueden pertenecer a una de las tres capas de
control de acceso: administrativas, técnicas o físicas.
La autenticación e identificación
Un concepto clave para la aplicación de cualquier tipo de control de acceso, es el
control de la autenticación correcta de los sujetos dentro del sistema. Un sujeto se
puede identificar a sí mismo; pero en esta identificación no se puede confiar. El tema
entonces es la autenticación al proporcionar una garantía de que la identidad
declarada es válida. Un conjunto de credenciales es el término utilizado para la
combinación de la identificación y la autenticación de un usuario.
Hay tres métodos básicos de autenticación: Tipo 1 (algo que sabe), Tipo 2 (algo que
tiene), y Tipo 3 (algo que es). Un cuarto tipo de autenticación es un lugar en el que
está.
Una autenticación fuerte consiste en emplear autenticadores que pertenezcan a dos
o más métodos distintos.
Figura 1.9. Métodos de autenticación.
Tecnologías de control de acceso
Hay varias tecnologías que se utilizan para la aplicación de los controles de acceso.
Como se presenta cada tecnología, es importante identificar lo que es único acerca
de cada solución técnica.
Single Sign-On
Single Sign-On (SSO) permite a múltiples sistemas, utilizar un servidor de
autenticación central (AS). Esto permite que los usuarios se autentiquen una vez y
accedan a múltiples sistemas diferentes. También permite a los administradores de
seguridad de añadir, modificar o revocar los privilegios de usuario en un sistema
central.
La desventaja principal de SSO, es que puede permitir a un atacante obtener acceso
a múltiples recursos después de poner en peligro uno de los métodos de
autenticación, como una contraseña. SSO se debe utilizar siempre con
autenticación multifactor por esta razón.
Gestión de identidad Federada (FIdM)
Se refiere a las políticas, procesos y tecnologías que establecen las identidades de
los usuarios y hacen cumplir las reglas sobre el acceso a los recursos digitales. Con
un sistema de gestión de identidad una empresa, en lugar de tener las credenciales
separadas para cada sistema con los que cuenta, puede emplear una única
identidad digital para acceder a todos los recursos a los que el usuario tiene
derecho. La Gestión de identidad permite extender este enfoque por encima del
nivel de la empresa, la creación de una autoridad de confianza para las identidades
digitales a través de múltiples organizaciones. En un sistema federado, las
instituciones participantes basan su identidad en atributos acordados y
estandarizados, facilitando la autenticación de otros miembros de la federación y
38
facilitando el acceso adecuado a los recursos en línea. Este enfoque simplifica el
acceso a los activos digitales y al mismo tiempo protege los recursos restringidos.
Kerberos
Kerberos fue creado en el M.I.T. (Massachussetts Institute of Technology) y es un
servicio de autenticación de terceros que puede usarse para apoyar Single Sign-
On. Se basa en el cifrado simétrico y proporciona autenticación mutua de los
clientes y los servidores en una red insegura.
La arquitectura de Kerberos está basada en tres objetos de seguridad: Clave de
Sesión, Ticket y Autenticador.
SESAME
(Secure European system for Applications in a Multivendor Environment)
Sistema Europeo seguro para aplicaciones en un entorno de múltiples fabricantes,
soporta entornos heterogéneos. Es un sistema de un inicio de sesión único muy
parecido al de Kerberos.
SESAME se puede considerar como una especie de extensión a Kerberos con
servicios adicionales tales como: funciones sofisticadas de control de acceso, la
escalabilidad de sistemas de clave pública, una mejor capacidad de gestión,
auditoría y delegación, así como la utilización de la criptografía de llave pública.
39
1.5. Hackers, crackers y sus variantes
Atacante
Es cualquier persona o proceso que realiza un ataque y generalmente lo hace de
manera remota. Va más allá de crear software malicioso y dejarlo en la red a
disposición de todos, toma el control de sistemas informáticos completos.
El atacante puede ser capaz de acceder a los recursos del sistema para leer, alterar,
modificar, cambiar, fabricar, retener, reenviar información o bien solo molestar. Así
como también engañar y suplantar a las partes legítimas en una comunicación.
Son sinónimos de atacante: enemigo, cracker, hacker intruso, entre otros.
Dependiendo de los conocimientos que tengan sobre técnicas de hacking y de los
daños que causen los atacantes se clasifican en:
Hacker
Experto de una o varias áreas de dominio específicas con mente curiosa,
apasionada del conocimiento, el proceso de aprendizaje, el descubrimiento y el
deseo de comprender el funcionamiento de las cosas en general.
40
En el aspecto ético (dependiendo sus acciones y moral) se clasifica a los hackers
en:
Figura 1.10. Clasificación de hackers.
White hat hackers (good guys)
Profesional con conocimientos de hacking, que sigue un código de ética,
usualmente alineado con alguna organización, es el encargado de proteger los
sistemas informáticos de los ataques que pueda sufrir, ya que localiza las
vulnerabilidades e implementa las contramedidas necesarias. También utilizan su
conocimiento en beneficio de la sociedad.
Black hat hackers
No respetan un código de ética, utilizan sus conocimientos para el mejor postor por
dinero, o bien para mostrar su rebeldía a la sociedad.
White hat hackers
Black hat hackers
Grey hat hackers
41
Grey hat hackers (bad guys)
Según les convenga en ocasiones están dentro del marco de la legalidad y en otras
no. Trabajan de manera ofensiva y defensiva. Realizan acciones maliciosas o
defensivas.
Wannabes (amateur que juega)
Personas sin experiencia en sistemas o redes que utilizan herramientas
automatizadas creadas por profesionales y puestas a disposición de cualquiera en
la red.
Crakers
Personas que utiliza técnicas de hacking para beneficio propio, tiene conocimientos
de ingeniería inversa, por lo que puede obtener seriales, cracks o generadores de
claves de programas que requieren licencia.
Phreaker
Personas con conocimientos y experiencia en telecomunicaciones, explotan las
vulnerabilidades de la telefonía.
Newbie
Personas novatas que están aprendiendo técnicas de hacking.
42
Script Kiddie
Persona sin conocimientos de hacking que utilizan herramientas automatizadas
creadas por profesionales y puestas a disposición de cualquiera en la red.
Para finalizar, ante la presencia de un atacante y de haber sido objeto de un ataque,
la organización deberá generar o replantear el esquema de seguridad lógico y/o
físico dependiendo el tipo de ataque y el objetivo del éste.
Habiendo analizado los rastros encontrados, e identificado y evaluado las medidas
de seguridad existentes podrá tomarse la decisión de replantearlas o bien
implementar nuevas medidas, teniendo presente ante todo qué activos deberán
protegerse, el impacto y el riesgo que conlleva que se presente un nuevo ataque.
43
RESUMEN
La seguridad informática es la disciplina que se encarga de proteger los equipos de
cómputo, redes, sistemas informáticos y datos que en ellos se almacenan, de
agentes externos o internos que pudieran dañarlos o robarlos manteniéndolos libres
de riesgos.
Los objetivos de la seguridad informática son preservar la integridad, disponibilidad,
confidencialidad y autenticidad de la información existente y en ejecución dentro de
los sistemas informáticos. Para lograr objetivos de la seguridad, son necesarios los
servicios de seguridad y los mecanismos de seguridad que protegerán los activos
de la información de una organización de cualquier amenaza que pudiera
presentarse al querer explotar alguna vulnerabilidad.
Una amenaza en seguridad informática es cualquier acción con el potencial
suficiente para atentar contra la seguridad de la información y/o causar pérdida o
daño al sistema que explote una vulnerabilidad, pudiendo presentarse amenazas
de interrupción, intercepción, modificación y fabricación o bien ataques activos o
pasivos que exploten una vulnerabilidad del sistema de manera accidental o
deliberada, materializando una amenaza.
Dentro de la seguridad informática, para disminuir el riesgo de una amenaza, existe
la posibilidad de controlar técnica, física o administrativamente la forma como se
accede a los recursos de un sistema y esto es con el control de acceso, el cual para
implementarlo requiere sean tomadas en cuenta una serie de características, así
como modelos de control de acceso tales como Control de Acceso Discrecional
(DAC), Control de Acceso Obligatorio (MAC) y control de acceso Basado en
roles.(RBAC) y se elijan las categorías del control de acceso y la tecnología de
control de acceso más adecuada de acuerdo a los activos que se quieren proteger.
44
BIBLIOGRAFÍA DE LA UNIDAD
Bibliografía sugerida
Autor Capítulo Páginas
CISSP Certification Guide II. Asset Security II
45
UNIDAD 2 ANÁLISIS DE RIESGO
46
OBJETIVO PARTICULAR
Al finalizar la unidad, el alumno podrá determinar los diferentes tipos de riesgos
y las vulnerabilidades que los podrían originar y los métodos para mitigarlos.
TEMARIO DETALLADO
(6 horas)
2. Análisis de riesgo
2.1. Administración de riesgos
2.2. Amenazas y vulnerabilidades
2.3. Determinación de probabilidades
2.4. Valuación de activos
2.5. Herramientas y técnicas de evaluación de riesgos
2.6. Metodologías de evaluación de riesgo (cualitativas y cuantitativas)
2.7. Cálculo de expectativa de pérdida anual (ALE)
2.8. Selección de medidas de contención
2.9. Evaluación de medidas de contención
2.10. Reducción, transferencia y aceptación de riesgos
47
INTRODUCCIÓN
La información es un activo sumamente importante para las organizaciones;
información sobre la organización, clientes y empleados, son datos sensibles que
deben ser protegidos, y es tarea de la gestión de riesgos proteger la información
sensible de las organizaciones. Para esto existen diversos métodos para proteger
la información. En esta unidad se tratará cómo gestionar los riesgos de la
información, a través de la utilización de metodologías para la gestión de riesgos
como CRAMM, MEHARI y MAHERIT; dichas metodologías se basan en la
utilización de procedimientos para la identificación de los activos más importantes
de la organización; la identificación de amenazas; la eliminación de las
vulnerabilidades; la selección de las medidas de contención; implantación de las
mismas y, por último, su evaluación, para iniciar nuevamente el ciclo de la gestión
de riesgos. Ya que las amenazas nunca desaparecen, sino por el contrario
permanecen y evolucionan, la gestión de riesgos debe también ser permanente y
estar actualizada para garantizar la seguridad de los sistemas de información.
48
2.1. Administración de riesgos
Los sistemas de información mantienen información importante para las
organizaciones, por lo que deben ser protegidos de amenazas. Si las amenazas se
concretan, entonces se producirá un daño. Los daños a los sistemas de información
pueden provenir de actividades cotidianas como visitar sitios web de dudosa
confiabilidad, o bajar archivos sin verificar el contenido de los mismos. Realizar las
actividades antes descritas es un riesgo. Un riesgo es la posibilidad de un
contratiempo en un sistema de información. Este contratiempo puede ser la
destrucción o el robo de información.
Para evitar estos contratiempos, es necesario gestionar los riesgos para impedir un
daño o al menos minimizarlo, y éste es el objetivo de la administración de riesgos.
La administración de riesgos se apoya en recursos de hardware, software,
procedimientos y herramientas para eliminar o, al menos, minimizar las
vulnerabilidades de los sistemas de información.
Existe hardware que ayuda a gestionar los riesgos. El hardware puede ser utilizado
para proteger el equipo, la red o los datos. En el caso de la protección del equipo:
49
Figura 2.1. Software para proteger el equipo, la red o los datos.
En el caso de la protección de la red y los datos que viajan en la misma:
Utilización de firewalls de hardware.
Utilización de redes seguras como VPN.
También se utiliza software para la gestión de riesgos, éste se utiliza para proteger
los datos.
Uso de antivirus.
Uso de firewall de software.
Si se utiliza internet para transmitir información, utilizar protocolos como SSL
(Secure Socket Layer) para proteger la información.
Si se van a realizar pagos, utilizar el protocolo SET (Secure Electronic
Transaction) para realizar pagos seguros con tarjeta de crédito o débito.
Utilización de reguladores de voltaje
Utilización de equipos de suministro de energía No-Break.
Utilización de sistemas que restrinjan el acceso a los equipos, como tarjetas inteligentes, o sistemas de reconocimiento de huella digital.
Utilización de medios de almacenamiento externo para realizar respaldos.
50
Los procedimientos son la manera en como utilizamos el hardware y el software,
esto es, el antivirus debe ser actualizado para que la base de datos de virus se
mantenga al día, el no break debe ser sustituido cuando termine su periodo de vida.
Ahora, los procedimientos son cómo utilizar el hardware y el software a nuestra
disposición:
Figura 2.2. Procedimientos para uso del hardware y software.
Para la protección del equipo.
Ubicación de los equipos en lugares restringidos.
Acceso solo al personal autorizado.
En caso de servidores, llevar una bitácora de las personas que acceden a los mismos.
51
En el caso de la protección de la red:
Figura 2.3. Recomendaciones para la protección de la red.
En el caso de la protección de los datos:
Figura 2.4. Recomendaciones para protección de datos.
Revisar bitácoras de los firewalls para determinar si han existido intentos de accesos no autorizados.
Actualización y configuración de seguridad de navegadores en el caso de que se use Internet.
No utilizar redes wi-fi públicas.
Las contraseñas no deben ser obvias, deben contener letras y números y combinar letras mayúsculas y minúsculas.
Los antivirus deben mantenerse actualizados.
Respaldo de información de manera periódica.
No abrir correos que contienen ligas.
52
Utilizando los recursos con los procedimientos adecuados se logrará una buena
gestión de riesgos, pues se evitarán fallas en los equipos, accesos no autorizados
en la red, y la pérdida o robo de datos.
Los recursos y los procedimientos son útiles para la gestión de riesgos, pero los
resultados pueden mejorar si se utilizan herramientas como las metodologías para
la gestión de riesgos. La ventaja de usar una metodología, es que los recursos y
procedimientos se utilizan de manera ordenada, se utilizan donde más se necesitan
y se pueden evaluar los resultados. Existen diversas metodologías para la gestión
de riesgos, entre ellas CRAMM, MEHARI y MAHERIT, las cuales serán vistas en el
subtema 2.5 “Herramientas y técnicas de evaluación de riesgos”, la manera de
gestionar los riesgos de cada metodología varía, pero el objetivo es el mismo:
gestionar los riesgos y garantizar la confidencialidad (prevenir la visualización de la
información a personas no autorizadas), la disponibilidad (que la información sea
accesible a las personas autorizadas) y la integridad (mantener la información libre
de modificaciones no autorizadas) de un sistema de información (Alegre, 2011, pp.
10-11).
53
2.2 . Amenazas y vulnerabilidades
Una amenaza es la posibilidad de sufrir un ataque, si dicha amenaza se concreta,
entonces se sufrirá de un daño en el sistema de información; ya sea en el hardware,
software, los datos, o la red.
Las amenazas pueden ser externas cuando una persona ajena a la organización
intenta atacar al sistema de información. Pero pueden ser internas, si es alguien
dentro de la organización quien comete el ataque, o simplemente por una mala
gestión de riesgos del administrador del sistema de información, o del administrador
de la red, o del encargado del mantenimiento a los equipos de cómputo.
La amenaza puede ser física, si es una amenaza a los equipos o a la red. La
amenaza puede ser lógica, si el daño puede suceder en los programas, o en los
datos.
Las amenazas se pueden eliminar o al menos minimizar. Lo ideal es eliminar la
amenaza, pero existen amenazas que difícilmente se pueden eliminar, como, por
ejemplo, un cracker que desea ingresar al sistema. Es la tarea de la administración
de los riesgos preverlas, implementar medidas de protección para evitarlas o al
menos minimizar los daños, en caso de que se materialice una amenaza.
La vulnerabilidad es una debilidad en el sistema de información, las debilidades son
los puntos donde la amenaza se puede materializar. Las vulnerabilidades están
relacionadas directamente con las amenazas, porque si no existe una amenaza,
tampoco existe una vulnerabilidad. Las vulnerabilidades pueden ser en el hardware,
software en la red o en los procedimientos.
54
Por ejemplo, si una computadora no cuenta con un antivirus, entonces es una
vulnerabilidad de software, si la amenaza de ataque de un virus se concreta,
entonces el sistema será vulnerado.
Si el servidor no cuenta con un no break entonces es una debilidad de hardware, si
ocurre un fallo en el suministro de energía eléctrica (amenaza) entonces el servidor
dejará de funcionar. Si el sistema de información utiliza una red wi-fi sin protección
entonces es una vulnerabilidad en la red. Si no se realizan respaldos de la
información, entonces es una vulnerabilidad en el procedimiento.
El primer paso para eliminar una vulnerabilidad es identificarla, una vez identificada
se puede corregir. Una manera de identificar las amenazas y las vulnerabilidades
de un sistema de información es a través de la realización de una tabla de amenazas
versus vulnerabilidades.
En una columna, identificamos la amenaza y en la columna siguiente la
vulnerabilidad. Dependiendo del sistema de información, las amenazas y
vulnerabilidades varían, esta tabla deberá ser utilizada de acuerdo a las
particularidades de cada sistema de información.
55
Amenaza Vulnerabilidad H
ard
wa
re
Fallo en el suministro de energía
eléctrica.
No se cuenta con un sistema de energía
ininterrumpida.
Fallo en el disco duro. No se realizan respaldos de la
información
A lo
s d
ato
s Infección por virus. No se cuenta con un antivirus
Intrusión de un craker al sistema de
información
Utilización de contraseñas obvias
A la
re
d Utilización de una red wi-fi pública para
conectarse al sistema de información
Robo de información
Accesos no autorizados a la red No se utiliza un Firewall
Tabla 2.2. Amenazas y vulnerabilidades.
Una vez identificadas amenazas y vulnerabilidades, el responsable del sistema de
información tendrá información precisa de los elementos a los que hay poner
atención para fortalecer la seguridad (Alegre, 2011, pp. 11-12).
56
2.3 . Determinación de probabilidades
Una probabilidad es la posibilidad de que un hecho se concrete. Una amenaza es
la posibilidad de que ocurra un daño en un sistema de información. Una de las tareas
de la gestión de riesgos, es determinar cuál es la probabilidad de que una amenaza
se concrete. Pero cómo saber qué tan probable es un ataque.
No es lo mismo la probabilidad de ataque a una cuenta de Facebook, a la
probabilidad de ataque al sitio web de un banco. Es más probable que alguien
intente burlar la seguridad de un sistema de información bancario, que la cuenta de
Facebook de una persona común y corriente. Y aunque no se descarta la amenaza
de ataque a la cuenta de Facebook, las probabilidades disminuyen, así como la
forma y los recursos para proteger la cuenta de Facebook.
Para estimar la probabilidad de que una amenaza se concrete, hay que hacerse
preguntas que nos indiquen a qué tipo de amenazas nos enfrentamos:
¿Cuál es nuestra actividad? Es la primera pregunta, la organización es
lucrativa o no lucrativa, se dedica a los servicios o a la industria, es pequeña,
mediana o grande, tiene un alcance regional, nacional o internacional.
¿La información de la actividad que realizamos, da pie a ataques? No es lo
mismo si la organización no tiene fines lucrativos, a una empresa que sí los
tiene, o si es una institución religiosa o una institución militar. Dependiendo
de la actividad es la posibilidad de sufrir un ataque al sistema de información.
¿Qué tipos de amenazas existen? Una vez determinado si existe la
probabilidad de un ataque, entonces es necesario determinar el tipo de
ataque que se puede sufrir. Por ejemplo, una empresa dedicada al desarrollo
de teléfonos inteligentes debe proteger sus innovaciones o inventos, en este
caso la amenaza es el robo de información de un nuevo producto.
57
¿Cuáles son las vulnerabilidades? Una vez determinada la amenaza, hay
que determinar la vulnerabilidad con la tabla descrita en el capítulo anterior,
por ejemplo, continuando con el ejemplo de la empresa de teléfonos
inteligentes, una vulnerabilidad puede ser que el sistema no cuenta con
sistemas de cifrado para la información de nuevos productos.
En caso de vulnerabilidades. ¿Cómo resolverlas? Continuando con el caso
de la empresa de teléfonos inteligentes, si se diera el caso de
vulnerabilidades, éstas deben corregirse con el uso de contraseñas difíciles
de romper, el uso de un firewall, la supervisión constante del administrador
del sistema, etc.
Para realizar esta actividad de manera ordenada, se puede utilizar un
diagrama de flujo, a partir de la segunda pregunta. Tomemos como ejemplo
el sistema de información de un banco, el administrador del sistema de
información desea proteger la información de los cuentahabientes:
Figura 2.5. Diagrama de flujo para protección de información de cuentahabientes.
58
También se debe clasificar la probabilidad de amenaza como Baja, Mediana y Alta.
Baja: Existen pocas probabilidades de un ataque.
Mediana: Existen condiciones que hacen probable un ataque.
Alta: Ataque inminente.
Para el caso visto en el diagrama de flujo, es evidente que las posibilidades de
ataque son altas, debido a que se trata de una institución bancaria, y es necesario
resolver de manera inmediata las vulnerabilidades.
59
2.4 . Valuación de activos
La valuación del hardware de un sistema de información es un activo tangible que
está determinado por su valor de mercado, donde un equipo determinado alcanzará
un precio de acuerdo a sus características.
El software, es un activo intangible, y, específicamente, los datos de un sistema de
información no siempre se valúan de la misma forma que los activos tangibles. Si
se trata de una aplicación, valuarla a su precio de mercado es sencillo, por ejemplo,
el costo de un paquete de ofimática, un manejador de bases de datos, o un paquete
administrativo. Cuánto cuesta un paquete de ofimática, un manejador de bases de
datos, o un paquete administrativo.
En el caso de que los datos del sistema de información sean diferentes, su
valoración puede ser subjetiva, por ejemplo, se pueden valuar utilizando un criterio
de costo de recuperación.
Qué pasa si por alguna falla de hardware o de software, los datos se pierden o se
corrompen. Si es posible recuperarlos, ¿cuánto cuesta la recuperación o la
captura?, ésta es una manera de determinar los costos de la pérdida de información.
En el caso de la seguridad informática, es necesario definirla para cada tipo de
información y para cada activo de hardware, dependiendo de la gravedad de la
pérdida de información o de un hardware.
60
Se deben hacer preguntas como las siguientes:
¿Qué pasa si perdemos la información de los clientes?
¿Qué pasa si el servidor de aplicaciones deja de funcionar?
¿Qué pasa si la información de los clientes es sustraída?
¿Qué pasa si el servidor web ya no puede ser visualizado en Internet?
La estimación de la pérdida facilita la valuación de un activo, respecto a la pérdida
que representa.
Si se asigna una cantidad de dinero a una pérdida, entonces se puede decidir
cuándo es aceptable una pérdida por riesgos de seguridad, y cuándo es
inaceptable.
61
2.5 . Herramientas y técnicas de evaluación de riesgos
La evaluación de riesgos es el estudio de las causas de amenazas a un sistema de
información y las consecuencias en caso de que las amenazas puedan concretarse.
La evaluación de los riesgos determinará cuáles son los riesgos que tendrían un
efecto negativo sobre el sistema de información, y, por lo tanto, deben ser tratados
con especial atención.
Existen herramientas para la evaluación de riesgos, cada una tiene una forma
distinta de gestionarlos y prevenirlos; pero su objetivo es el mismo: garantizar la
seguridad del sistema de información.
Entre las herramientas más conocidas se encuentran las siguientes:
I. CRAMM. El acrónico proviene de CCTARisk Analysisi and Management Method.
II. MAGERIT. La palabra magerit significa Madrid en castellano antiguo.
(Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información).
III. MEHARI. La palabra MEHARI, es el nombre de un tipo de dromedario de color
blanco.
62
CRAMM
Es una metodología de análisis de riesgos desarrollada por el Centro de Informática
y la Agencia Nacional de Telecomunicaciones del gobierno del Reino Unido. Su
versión inicial data de 1987 y la versión vigente es la 5.
Esta herramienta es utilizada por la OTAN, por las fuerzas armadas de Alemania,
y empresas como Unisys; además, utiliza evaluaciones cuantitativas y cualitativas.
Objetivos:
Identificar la seguridad de un sistema de información.
Identificar situaciones de contingencia para un sistema de información.
Identificar situaciones de contingencia de una red.
Generalmente, esta herramienta se utiliza para las siguientes actividades:
Análisis y gestión de riesgos.
Proteger la confidencialidad, integridad y disponibilidad de un sistema y de
sus activos.
A su vez, incluye las siguientes herramientas de evaluación de riesgo:
Evaluación de impacto empresarial
Identificación y evaluación de amenazas y vulnerabilidades
Evaluar los niveles de riesgo
La identificación de los controles necesarios una vez evaluado el riesgo.
Se divide en tres etapas:
Identificación y valoración de activos
De amenazas y evaluación de la vulnerabilidad
Contramedidas selección y recomendación
63
De acuerdo con los puntos anteriores, la herramienta CRAMM calcula los riesgos
para cada grupo de activos contra las amenazas a las que es vulnerable utilizando
una matriz de riesgo. Y basándose en los resultados del análisis de riesgos, produce
una serie de medidas aplicable al sistema de información para gestionar los riesgos.
MAGERIT
Es una metodología de análisis y gestión de riesgos de los sistemas de información
elaborada por el Consejo Superior de Administración Electrónica de España, está
diseñada para minimizar los riesgos al utilizar sistemas de información y está
enfocada a los organismos públicos. Actualmente está en su versión 3.
Actualmente, la utilización de las tecnologías de información es de uso generalizado
en las instituciones públicas y privadas; MAGERIT es una herramienta diseñada
para gestionar los riesgos en las instituciones públicas, aunque pueden utilizarse en
instituciones privadas; además, se utiliza para identificar las medidas que permitan
prevenir y corregir las vulnerabilidades, así como analizar las consecuencias en
caso de que las amenazas se concreten.
64
Objetivos:
Ofrecer un método sistemático de análisis de riesgos.
Detectar y eliminar vulnerabilidades.
Analizar las consecuencias de la concreción de amenazas.
Libros MAGERIT está divido en tres libros:
Método Catálogo de Elementos. Guía de Técnicas.
Este libro describe la estructura que debe poseer el modelo de gestión de riesgos.
Este libro, como su nombre lo indica, cataloga los activos del sistema de información, la forma de valuarlos, un listado de amenazas y la manera de mitigarlos.
Como su nombre lo indica, esta guía describe técnicas para el análisis de riesgos, como algoritmos y análisis de costo-beneficio.
Tabla 2.3. MAGERIT, división en libros.
PILAR es una herramienta que implementa la metodología MAGERIT de análisis y
gestión de riesgos, desarrollada por el Centro Criptológico Nacional (CCN). Se
puede descargar de la siguiente liga:
Centro Criptográfico Nacional. (10 de Octubre de 2019). Defensa frente a las amenazas. Recuperado el 10 de Octubre de 2019, de https://www.ccn-cert.cni.es/soluciones-seguridad/ear-pilar.html
65
MEHARI Es una metodología de evaluación de origen francés, desarrollada por la CLUSIF
(CLUb de la Sécurité de l’Information Français). Esta metodología se diseñó para
ayudar a los responsables de seguridad de la información a reducir riesgos en un
sistema de información.
Objetivos:
Analizar las vulnerabilidades de un sistema de información.
Gestionar y minimizar los riesgos.
Revisar la seguridad de un sistema de información.
Fases:
MEHARI proporciona las indicaciones para crear planes de seguridad, a través de
listas de vulnerabilidades, medidas de control y monitorización de las tareas de
seguridad, esto lo realiza en 4 etapas:
1. Analizar las consecuencias de que una amenaza grave se concrete:
Identificación de las consecuencias graves.
Análisis del impacto en caso que una consecuencia grave se materialice.
2. Analizar las vulnerabilidades:
Identificar las debilidades.
Corregir las debilidades inaceptables.
66
3. Manejar los riesgos:
Medir la posibilidad de que una amenaza se concrete.
Las posibles consecuencias.
Reducir, transferir o mantener el riesgo
4. Monitorización de la seguridad:
Establecimiento de objetivos anuales.
Indicadores para medir el cumplimiento de los objetivos.
Cabe mencionar que MEHARI dispone de una base de datos de conocimientos para
el diagnóstico de las medidas de seguridad y de procedimientos para la evaluación
de los riesgos, y para determinar el nivel de dichos riesgos (bajo, medio, alto).
Para la evaluación de los riesgos MEHARI cuenta con dos opciones:
Utilización de funciones de la base de datos de conocimiento (para Microsoft Office
u Open Office), con estas funciones es posible evaluar el nivel de riesgo y proponer
medidas para la reducción del mismo.
La segunda opción es utilizar un software de nombre RISICARE2, que proporciona
una interfaz que permite simulaciones y visualizaciones de situaciones de riesgo.
(OVH.COM, 2019).
67
2.6 . Metodologías de evaluación de riesgo (cualitativas y cuantitativas)
Existen dos tipos de métodos utilizados para determinar el nivel de riesgos en un
sistema de información.
1. Métodos cualitativos
2. Métodos cuantitativos
Figura 2.6. Métodos para determinar el nivel de riesgo.
Una actividad relevante durante la realización de una evaluación de riesgos consiste
en conocer aquellas amenazas que pueden materializarse, provocando daños, y
que, por lo tanto, deben ser atendidas.
68
La complejidad se presenta cuando es necesario conocer cuáles riesgos deben ser
atendidos primero, y qué parámetros deben ser utilizados para la asignación de
prioridades. En este contexto, generalmente se utilizan dos enfoques para emitir
una valoración: elementos cualitativos o cuantitativos (o bien, una combinación de
ambos), que permitan determinar la severidad de los riesgos identificados.
Evaluación de riesgos cuantitativa
La evaluación cuantitativa tiene como base la utilización de números para realizar
una evaluación, los números pueden representar una estadística, un porcentaje o
una cantidad monetaria.
En el caso de una estadística se pude representar como: Existen en promedio 3
ataques diarios, intentando entrar al sistema con claves incorrectas.
Si se representa como un porcentaje: El 50% del robo de información proviene de
personal interno de la organización.
Si la representación es monetaria puede decirse: Por cada día que la tienda en línea
deje de funcionar se pierden ventas por $100,000.00 pesos.
Para este último ejemplo, se puede utilizar una fórmula para la pérdida potencial.
Para calcular una pérdida potencial, se utiliza la fórmula de Expectativa de Pérdida
Anual (ALE por sus siglas en inglés), esta fórmula se revisará en la siguiente unidad.
El uso de la fórmula (ALE) agrega objetividad a los resultados de la evaluación. Y
muestra la relación costo-beneficio entre el costo de implementar una medida de
seguridad, y la perdida por no utilizarla.
69
Evaluación de riesgos cualitativa
A diferencia de la evaluación cuantitativa, en este tipo de evaluación no se utilizan
números, sino adjetivos para calificar los riesgos, los adjetivos comúnmente usados
son riesgo alto, medio o bajo.
Debido a que cada persona posee un concepto diferente de lo que significa alto,
medio o bajo, la evaluación puede ser subjetiva, y en seguridad informática no se
debe utilizar la subjetividad. Así que el primer paso es definir qué significa cada
término para estandarizare la evaluación.
La evaluación cualitativa es más sencilla de realizar y es más fácil que las personas
entiendan y utilicen términos concretos que porcentajes o estadísticas. El desafío
consiste en definir correctamente los términos a cada riesgo. Esto puede lograrse a
través de una matriz de riesgo.
Veamos un ejemplo de una tienda en línea y realicemos una matriz de riesgo:
La tienda en línea se llamará “puma en línea”, y tiene como su línea de productos,
artículos de vestir deportivos. La tienda en línea tiene un catálogo de todos sus
productos, los cuales se pueden pagar con tarjeta de crédito, y su entrega se realiza
vía una empresa de mensajería.
Del lado técnico, la tienda cuenta con un servidor web donde se aloja el sistema de
la tienda en línea, una línea dedicada para acceso a internet, además de la
utilización de un firewall de hardware y un software antivirus.
La disponibilidad de la tienda en línea, así como la protección de los datos
personales y financieros de los clientes es fundamental para la empresa, por lo que
estos dos factores son importantísimos. De esta manera se realizará la matriz de
riesgo tomando en cuenta estos factores.
70
Se utilizará una escala de 1 a 5 para indicar la prioridad: 5 es la más alta prioridad
y 1, la prioridad más baja.
Se utilizará un valor para el área de impacto utilizando 3 valores:
1. Bajo
2. Medio
3. Alto
La matriz funciona de la siguiente manera, en una columna se determina cuál es la
prioridad del criterio de evaluación, y en la segunda columna, el valor del impacto,
en caso de que una amenaza se concrete, los valores de cada columna de
multiplican y se obtiene una puntuación, por ejemplo:
Criterio de evaluación Prioridad Valor de área
de impacto
Puntuación
Disponibilidad de la tienda
en línea en Internet
5 Alto (3) 15
Seguridad de los datos del cliente 5 Alto (3) 15
Compatibilidad con todos
los navegadores
5 Medio (2) 10
Aceptación de todas las tarjetas
de crédito
3 Medio (2) 6
Puntaje 46
Tabla 2.4. Ejemplo de matriz de riesgo.
Los dos enfoques son útiles, lo importante es que el método elegido permita reforzar
la seguridad.
La correcta utilización de cada método permitirá una adecuada gestión de los
riesgos, para la eliminación o mitigación de las amenazas. (Mendoza, 2015).
71
2.7 . Cálculo de expectativa de pérdida anual (ALE)
Cuál es el impacto desde el punto de vista monetario, si una amenaza se hace
realidad.
Hay una manera de saberlo y es a través de la fórmula para el cálculo de expectativa
de pérdida anual (Annualized Loss Expectancy o ALE por sus siglas en inglés.
Dicha fórmula permite simular el impacto de la concreción de una amenaza en
términos monetarios, esto es, ¿cuál sería la pérdida económica en caso de que una
amenaza se concrete?
La fórmula se calcula de la siguiente manera:
Se multiplica el valor de un evento de pérdida (Single Loss Expentancy SLE) o
expectativa de pérdida individual por su ARO (Anual Rate of Ocurrence) o
expectativa anual de ocurrencia, es decir, la pérdida monetaria por el daño a un
activo en un año. Su fórmula es:
ALE = SLE x ARO
La SLE también se calcula con una fórmula que tiene dos variables.
La primera variable es (Exposure Factor EF) o factor de exposición, la segunda
variable es (Asset Value AV) o valor del activo, la SLE se calcula de la siguiente
manera:
SLE = EF x AV
72
Así que los elementos de la formula son:
ALE: Expectativa de Pérdida Anual
SLE: Expectativa de Pérdida Individual
ARO: Tasa de Ocurrencia Anualizada
EF: Factor de Exposición
AV: Valor del activo
Resumiendo. Para obtener el valor de ALE, se multiplica la expectativa de pérdida
individual, por su tasa de ocurrencia anualizada.
ALE = SLE x ARO
A su vez, SLE es el resultado de la multiplicación de producto entre el factor de
exposición por el valor del activo.
SLE = AV x EF
Entonces la fórmula completa queda así:
ALE = (AV x EF) x ARO
Ahora veamos un ejemplo donde se muestran los pasos necesarios para calcular la
pérdida anualizada:
73
1. Definición del alcance y los activos involucrados
Veamos un ejemplo con un supermercado. Al cual llamaremos “Superpuma”. Dicho
supermercado tiene 10 cajas, y un sistema de información para gestionar su
información.
En este ejemplo se enlista el costo de los activos de hardware y software necesarios
para que el servicio de cajas pueda funcionar.
Alcance Activos Valor Porcentaje
del valor total
Servicio de cajas
Servidor $30,000.00 15%
Software de punto de venta
(instalado en el servidor)
$12,000.00 6%
Red LAN $25,000.00 12.5%
Software de Firewall y Antivirus $23,000.00 11.5%
Software de gestión administrativa y
contable
$110,000.00 55%
Costo Total $200,000.00 100%
Tabla 2.5. Lista de activos de hardware y software.
2. Selección del activo crítico
Para continuar, se selecciona el activo crítico para la operación de la organización,
aunque puede seleccionarse más de un activo, en este caso seleccionaremos el
software de punto de las cajas, es el activo crítico; ya que, si deja de funcionar, los
cajeros no pueden cobrar.
74
Activo critico
Aplicación
Software de punto de venta Ventas promedio al día $200,000 pesos
3. Identificación de amenazas y probabilidad de ocurrencia
Posterior a identificar el activo crítico, se identifican las posibles amenazas. En este
caso lo más conveniente es utilizar datos estadísticos. Para el ejemplo del
supermercado, se pueden utilizar estadísticas de cuántas fallas al año ha sufrido el
sistema de cajas.
En este caso se utiliza un porcentaje de la ocurrencia de la amenaza al año; por
ejemplo, si la incidencia ocurre cada dos años, entonces es 50%.
Amenazas ARO
Infección por virus (1 vez cada 2 años) 50%
Falla eléctrica (1 vez cada 3 años) 33%
Falla en la red LAN (1 vez cada 3 años) 33%
4. Identificación del factor de exposición El factor de exposición es el porcentaje de pérdida para un activo si una amenaza
se concreta. Si la pérdida es completa entonces el porcentaje es 100%.
Factor de exposición Porcentaje
El sistema no cuenta con un Firewall actualizado 30%
El sistema no cuenta con un antivirus actualizado 40%
No se le da mantenimiento a la red LAN 100%
75
5. Cálculo de ALE
En el ejemplo se aplica el cálculo de la pérdida anualizada para la aplicación del
supermercado, considerando sólo la amenaza de infección por virus:
Activo Amenaza VA FE ARO
Software de punto de
venta
Infección por virus (1 vez
cada 2 años)
$12000.00 40% 50%
En el ejemplo se aplica el cálculo de la pérdida anualizada para el servidor de
aplicaciones, considerando sólo la amenaza de infección por virus:
Entonces:
Valor del Activo (AV): $12,000.00
Factor de Exposición (FE): 40% (Porcentaje de pérdida de activo
causada por la amenaza)
Tasa Anualizada de Ocurrencia (ARO): 50% (1 vez cada dos años)
Si aplicamos la fórmula, obtenemos el siguiente resultado:
ALE = (AV x FE) x ARO
ALE = (12000 x 0.4) x 0.5
ALE = 2400
Para obtener mayor precisión, es necesario considerar todas las amenazas. El
resultado final es la suma de los valores de ALE de cada amenaza.
Si el valor final de ALE supera el costo del activo (y en este caso las ventas del
supermercado), es necesario considerar la aplicación de medidas de seguridad,
76
pero si el costo de los controles de seguridad supera el valor del activo, la
implementación no es factible económicamente.
Para que este modelo sea efectivo, es muy importante el juicio de una persona con los conocimientos y experiencia suficientes para darle valor a cada variable de la fórmula.
77
2.8 . Selección de medidas de contención
La selección de las medidas de contención, serán determinadas principalmente por
los factores de:
La matriz de riesgos donde se han definido los activos críticos.
La ALE, porque se puede calcular el costo beneficio de implementar una
medida de seguridad.
Una vez hecho esto se deben elegir las medidas de contención, que sean factibles
desde el punto operativo y económico.
El reto es conseguir un punto intermedio donde se protejan los activos críticos con
los recursos disponibles y sin afectar la operación de la organización.
Supongamos el siguiente ejemplo, un servidor web puede poseer la característica
de confidencialidad baja (ya que toda la información es pública), pero necesita alta
disponibilidad e integridad, para ser confiable.
En contraste, un sistema de planificación de recursos empresariales (ERP. Los
sistemas ERP gestionan la información contable, administrativa, de inventarios, de
compras y ventas de una empresa, y la concentran en una sola base de datos,
ejemplo de estos tipos de software, son SAP, PeopleSoft, Dolibarr, WebErp) es,
generalmente, un sistema que debe cubrir las tres variables de la seguridad
(confidencialidad, integridad y disponibilidad).
78
Las medidas de contención dependerán de si el activo es crítico y si se cuenta con
los recursos para aplicar la medida de contención, esto es, en el caso del servidor
web, se pude elegir utilizar un sistema de energía ininterrumpido.
Pero en el caso del ERP, además del No-break, será necesario utilizar un servidor
espejo, un firewall, realizar respaldos de manera periódica y restringir el acceso al
servidor. La elección de las medidas de contención dependerá del impacto del daño
para la organización y del tipo de sistema de información (Vaca, 2014, pp. 17-35).
79
2.9. Evaluación de medidas de contención
Después de haber identificado las amenazas, y de haber determinado el impacto de
cada amenaza para el sistema de información, y de haber elegido los medios de
contención para mitigar las amenazas, el siguiente paso es evaluar qué tan robustos
son los medios elegidos. Dependiendo de los medios elegidos, la evaluación será
diferente; pero en general se puede evaluar el medio, simulando la concreción de
una amenaza como puede ser una falla en el hardware o software o un ataque
interno o externo.
La evaluación tiene como objetivo detectar fallas de las medidas de contención,
dependiendo de la medida implantada, la evaluación será diferente, pero en general,
en el caso del hardware se debe evaluar:
Seguridad en la alimentación de energía eléctrica.
Seguridad en el funcionamiento de los componentes de hardware.
80
En el caso del software se debe evaluar:
Figura 2.7. Aspectos a evaluar del software.
En el caso de políticas de seguridad:
Figura 2.8. Aspectos a evaluar en el caso de políticas de seguridad.
Las actualizaciones del software.
La robustez en caso de un ataque.
La fortaleza de las contraseñas.
La fortaleza de los algoritmos de encripción.
La debida capacitación de los empleados.
El cumplimiento de las políticas de seguridad.
Establecimiento de responsabilidades.
Establecimiento de procedimientos.
Documentación de las políticas de seguridad.
81
Una vez obtenidos los resultados, se emite un informe, indicando cuáles medidas
funcionan de manera adecuada y cuáles de manera inadecuada.
La pérdida de equipos se valora en términos de costo de reemplazo. Los datos y
activos de software se valoran en términos del impacto que se produciría si la
información fuera a ser robada, destruida, divulgada o modificada. No existen
sistemas 100% seguros, pero sí existen sistemas más seguros que otros, lo que
siempre debe prevalecer es la supervisión y evaluación constante.
El propósito de la evaluación de las medidas de contención es analizar el
funcionamiento, la efectividad y el cumplimiento de las medidas de protección, para
continuar con las mismas prácticas o ajustarlas (Vaca, 2014, pp. 37-42).
82
2.10. Reducción, transferencia y aceptación de riesgos
El objetivo de la gestión de riesgos es reducirlos; sin embargo, existe el impedimento
de no contar con los recursos económicos para implementarlos, no todas las
empresas son capaces de adquirir el hardware y software necesario para aumentar
la seguridad de sus sistemas de información, así que los riesgos que no se pueden
reducir deben ser aceptados o transferidos.
La seguridad tiene un costo, y este costo generalmente es económico, de manera
que el desembolso debe ser costeable y justificado.
Debe existir un equilibrio entre un grado de protección adecuado, y un costo
aceptable, para que las medidas reduzcan las amenazas a un precio razonable.
Ningún software o hardware ofrece seguridad completa, siempre queda un riesgo
restante, el riesgo restante se da por dos circunstancias: Por las amenazas
concretadas y por la aceptación del riesgo.
Amenazas concretadas
Por un lado, están las amenazas que, a pesar de las medidas de seguridad
implementadas, se pueden materializar. Podemos protegernos de los virus
conocidos utilizando un antivirus; sin embargo, cuando surge un virus con
características desconocidas, y el antivirus no lo bloquea, las consecuencias se
harán sentir.
Aceptación del riesgo
La segunda circunstancia es cuando aceptamos el riesgo y sus posibles
consecuencias, la razón para aceptar el riesgo es porque no se cuentan con los
83
recursos para implementar medidas de seguridad, o porque el activo a proteger no
justifica el gasto, o porque no tenemos control sobre el entorno, por ejemplo, si se
utilizan aplicaciones que se encuentran en Internet, siempre se está expuesto a los
virus o crackers.
Reducción de riesgo
La reducción de riesgo se logra a través de la implementación de medidas de
protección, que se basen en los resultados del análisis de riesgo. Las medidas son
las siguientes:
Figura. 2.9. Tipos de medidas para reducción de riesgo.
Las medidas de protección están divididas en medidas físicas y técnicas,
personales y organizativas.
Medidas
Físicas y técnicas
PersonalesOrganizativas
84
Las medidas físicas y técnicas se refieren al hardware, software infraestructura de
telecomunicaciones además de la construcción del edificio donde será alojado el
servidor que contiene al sistema de información.
Las medidas personales se refieren al comportamiento de los empleados que tienen
un involucramiento en la seguridad del sistema de información, esto es, deben
utilizar contraseñas difíciles de recordar, deben poseer la capacitación adecuada
para la utilización segura del sistema de información y deben ser discretos en cuanto
a la información sensible de la organización.
Por último, las medidas organizativas se refieren a las políticas de seguridad de la
empresa, que controlan el uso, protección y resguardo la información sensible de la
organización.
Transferir el riesgo Cuando no es posible mitigar el riesgo, el riesgo se puede transferir a un tercero.
Si se transfiere el riesgo a un tercero, la organización se deslinda parcial o
totalmente del riesgo. ¿Pero cómo se realiza? Veamos ejemplos de cómo transferir
el riesgo.
Ejemplo 1 Una empresa utiliza un servidor web que aloja un sistema de gestión integral,
dicho servidor debe permanecer en línea las 24 horas del día los 365 días del año.
Riesgo: Que el servidor deje de funcionar, o que la conexión a internet se
caiga.
Transferencia del riesgo: Contratar un espacio en disco en un centro de
datos, que garantice la continuidad del funcionamiento del sistema de
información.
85
Ejemplo 2 Una compañía ofrece un servicio de almacenamiento en la nube para particulares,
los clientes pueden almacenar cualquier tipo de archivos.
Riesgo: Que la información sea robada.
Transferencia del riesgo: La empresa no se hace responsable por el robo de
información.
Ejemplo 3 Una empresa realiza el mantenimiento preventivo y correctivo de computadoras
personales en las empresas.
Riesgo: el usuario de los equipos puede perder información, por causa de
virus o un mal funcionamiento de algún programa.
Transferencia del riesgo: El proveedor solo se hace responsable de la
reparación del equipo, no de la recuperación de información.
Al momento de crear un plan de gestión de riesgos, hay que buscar alternativas de
transferencia del riesgo, que incluyen no sólo la transferencia al usuario final del
servicio, sino también a terceros especializados, y a otras entidades que permitan
a la organización tener control sobre aquellos riesgos que no desea mitigar o que
sería muy costoso hacerlo.
86
RESUMEN
La gestión de riesgos se enfoca en la protección y resguardo de la información, en
específico en datos que se encuentran almacenados en un sistema de información.
Para esto existen diversos métodos, que al final determinarán las acciones a seguir,
las cuales pueden ser aceptar el riesgo, eliminarlo, mitigarlo o transferirlo. Al final
no se puede garantizar a 100% la eliminación de riesgos de un sistema de
información, pero sí se pueden minimizar. Para que el daño, si llegare a suceder,
sea mínimo.
87
BIBLIOGRAFÍA DE LA UNIDAD
Bibliografía sugerida
Autor Capítulo Páginas
Alegre Ramos, María Del
Pilar. García-Cervigón
Hurtado, Alfonso.
1. Seguridad Informática.
Introducción a la seguridad
informática
10-11
Vaca, John 21.Network and System Security
Security Monitoring and
Efectiveness
37-42
Vaca, John 21.Network and System Security
Information security from the Ground
Up
17-35
88
UNIDAD 3
ARQUITECTURA Y DISEÑO DE SEGURIDAD
89
OBJETIVO PARTICULAR
Al finalizar la unidad, el alumno identificará la metodología que le permita generar
los mecanismos para asegurar la información.
TEMARIO DETALLADO
(4 horas)
3. Arquitectura y diseño de seguridad
3.1. Arquitectura de computadoras
3.2. Mecanismos de protección
3.3. Modos de seguridad
3.4. Modelos de seguridad
3.5. Guías de evaluación
3.6. Certificación y acreditación
90
INTRODUCCIÓN
En esta unidad se verá el tema de arquitectura de computadoras, que es la
descripción de los elementos de una computadora, así como la interacción entre
éstos; desde el punto de vista de la seguridad de los sistemas de información, es
necesario conocer dichos elementos, ya que algunos pueden ser vulnerables a un
ataque, por ejemplo, el robo de información del disco duro.
Además, se verán los mecanismos que existen para prevenir, detectar o resolver un
ataque al sistema de información; así como los modos de información para
determinar qué información puede verse y cuál no, dependiendo del tipo de usuario
que acceda a la misma. También se verán los modelos de seguridad basados en
políticas, herramientas o equipos de trabajo.
Además, se verá la utilización de guías para la protección de un sistema de
información, pues dicha utilización disminuye las posibilidades de sufrir un ataque
externo y la posibilidad de pérdida de información por un descuido; además, tal
utilización es necesaria para poder certificar que un sistema de información es
seguro, puesto que la certificación da la certeza de que un sistema cuenta con un
nivel de seguridad que impida la pérdida o robo de información.
91
3.1. Arquitectura de computadoras
La arquitectura de computadoras describe los elementos que integran a una
computadora, además muestra cómo interactúan dichos elementos.
Desde el punto de vista conceptual, una computadora se compone de los siguientes
elementos:
Figura 3.1. Elementos de una computadora.
Dependiendo de las características particulares de cada computadora, cada
dispositivo puede variar, pero, en general, son los siguientes:
Como dispositivos de entrada tenemos un ratón, un teclado o una pantalla
touchscreen.
Como dispositivo de salida, tenemos a una pantalla, o unas bocinas.
Como la memoria principal, tenemos a la memoria RAM.
92
Como la memoria secundaria tenemos al disco duro.
Los elementos antes descritos están basados en la arquitectura de John von
Neumann, en referencia al matemático y físico John von Neumann. Las
computadoras actuales están basadas en dicho modelo. Hoy, el uso de
computadoras es algo cotidiano, y esto en parte es gracias al modelo del autor
mencionado, ya que permite la construcción de un hardware al que se le pueden
agregar distintos tipos de programas.
En las primeras computadoras no existía el concepto de un programa almacenado,
las primeras computadoras tenían programas fijos, si se deseaba utilizar un
programa diferente, era necesario construir otra computadora, lo que era un trabajo
arduo.
En cambio, en la arquitectura de von Neumann, dichos programas pueden
almacenarse en un dispositivo de almacenamiento permanente (disco duro); estos
programas, además, pueden realizar operaciones en una memoria temporal (la
memoria RAM), y el resultado de las operaciones pueden almacenarse como
archivos en el disco duro. Todo esto fue el concepto de von Neumann, dicho
concepto fue el inicio de las computadoras modernas.
El modelo define a la computadora como un sistema compuesto por cuatro
subsistemas:
Figura 3.2. Subsistemas de una computadora.
Memoria Unidad
aritmético-lógica.
Unidad de control
Dispositivos de entrada/salida.
93
Figura 3.3. Estructura de Newman.
Elaboración con base en: Frikosfera (2015)
En esta arquitectura, los programas y los datos se almacenan en la memoria
principal, la memoria está dividida en celdas, las cuales tienen una dirección única,
y cada programa se ejecuta de manera secuencial. Las computadoras actuales
siguen utilizando esta arquitectura en su forma básica.
94
3.2. Mecanismos de protección
Los mecanismos de protección, son las herramientas que se utilizan para proteger
el sistema de información de ataques, dichas herramientas pueden ser de hardware
o de software, o una herramienta que utilice ambos elementos. Por ejemplo, un
lector biométrico de huellas digitales, utiliza tanto hardware como software. Pero no
necesariamente tiene que ser hardware o software, también pueden ser políticas de
seguridad, siendo éstas últimas muy útiles, ya que de nada sirve utilizar la última
tecnología en protección informática, si no se usa de manera adecuada, incluso la
protección se puede dar con bajos costos, y de manera efectiva si se utilizan
políticas adecuadas.
Los mecanismos pueden ser de cuatro tipos:
Disuasivos Preventivos Detectores Correctivos
Se encargan de desalentar un ataque o un robo, un ejemplo de esto son las cámaras de seguridad, las personas que intenten robar o dañar información o hardware, saben que son vigilados.
Como su nombre lo indica, son aquellos que buscan prevenir una situación de riesgo. Un ejemplo de esto es instalar las últimas actualizaciones de seguridad del sistema operativo, otro ejemplo es un sistema de energía ininterrumpida, ya que previene un corte de energía eléctrica.
Son mecanismos que detectan amenaza para el sistema de información. Ejemplos de éstos son los antivirus ya que detecta y elimina software malicioso y los firewalls ya que revisan la información que entra a la red.
Los mecanismos correctivos buscan reparar el daño en caso de que un ataque se concrete, ejemplo de esto puede ser la utilización de respaldo para reinstalar el sistema, o la utilización de un servidor espejo que pueda seguir proporcionando el servicio, mientras el primer servidor es reparado.
Tabla 3.1.Tipos de mecanismos de protección. (Aguilera, 2010, p. 17).
95
3.3. Modos de seguridad
Un modo de seguridad es el tipo de información al que puede acceder un usuario o
usuarios, en otras palabras, qué puede ver, y qué no puede ver. Un sistema puede
operar en diferentes modos de seguridad, dependiendo del tipo de información que
almacena un sistema información:
Los niveles son los siguientes:
Figura 3.4: Modos de seguridad.
96
Modo de seguridad dedicado
En este modo los usuarios tienen acceso a toda la información, por ejemplo,
pensemos en una empresa que comercializa productos y utiliza una lista de precios
para los clientes, esta lista de precios está accesible para cualquier persona dentro
de la empresa.
Modo de seguridad elevado
Utilizando el mismo ejemplo de la empresa comercial, los usuarios pueden tener
acceso a cierto tipo de información, por ejemplo, los empleados de mostrador,
pueden tener acceso a los datos generales de los clientes, pero no pueden acceder
a datos financieros, como el monto de sus compras.
Modo de seguridad compartido
En el nivel de seguridad compartido, los usuarios pueden acceder a cierto nivel de
información, pero de acuerdo a su perfil de usuario, esto es, el contador puede ver
información contable, no así el empleado de mostrador, otro ejemplo es que el
responsable de compras solo puede ver el inventario.
Modo de seguridad multinivel
El modo de seguridad multinivel es muy similar al anterior, con la diferencia que
algunos usuarios tienen la autorización de ver más de un tipo de información, por
ejemplo, quizá sea necesario que el contador tenga acceso a la información de
inventarios, este tipo de nivel de seguridad es el más utilizado en el caso de
sistemas de información administrativos (Aguilera, 2010, p. 24).
97
3.4. Modelos de seguridad
Un modelo de seguridad es una pauta para implementar controles de seguridad.
Existen diferentes modelos de seguridad, veamos tres muy importantes para la
seguridad de la información.
Figura 3.5. Modelos de seguridad.
Los modelos basados en políticas de seguridad indican la forma en que los
empleados deben realizar sus actividades, de manera que no comprometan la
seguridad de la información, así como la seguridad de los sistemas de información
y el hardware que la almacena.
Las políticas de seguridad dicen a los empleados cuáles son las prácticas
adecuadas, para evitar vulnerar la seguridad.
Basados en políticas de seguridad.
Basados en herramientas de hardware y software.
Basados en el equipo de trabajo.
98
Un ejemplo de políticas de seguridad puede ser:
No compartir contraseñas.
No dejar escritas las contraseñas y a la vista.
Utilizar un protector de pantalla con contraseña.
Realizar respaldos de información de manera periódica.
Los modelos de seguridad basados en herramientas de hardware y software, como
su nombre lo indica, se valen de las herramientas que ofrece el mercado para
proteger la red, el hardware, el software y los datos. Ejemplo de estas herramientas
son:
Figura 3.6. Herramientas para proteger la red.
El último modelo, se apoya en la adecuada capacitación del personal, además
deben ser motivados a realizar prácticas que no comprometan la seguridad del
sistema de información. Para esto, se les debe capacitar con los cursos necesarios
para realicen su trabajo de manera adecuada y segura (Aguilera, 2010, pp. 20-22).
Antivirus.
Firewalls de hardware y software
No-break
Sistemas espejo
99
3.5. Guías de evaluación
La evaluación de un sistema de información permite saber si el sistema cumple con
ciertos requisitos. Dicha evaluación puede realizarse de acuerdo a los criterios
personales del responsable del administrador del sistema de información. Este
criterio sin duda es útil, pero dicha evaluación será mejor realizada si se sigue un
estándar; en otras palabras, es mejor utilizar como guía un estándar. La utilización
de un estándar no garantiza a 100% la seguridad de un sistema de información,
pero indudablemente los riesgos serán menores.
En el caso concreto de la seguridad de los sistemas de información, los estándares
son útiles; ya que definen los pasos a seguir, para mejorar la seguridad de un
sistema de información; además, ayudan a la certificación de la seguridad en un
sistema de información.
Una de las organizaciones más conocidas en cuanto estándares, se refiere es la
organización ISO (International Standards Organization); la cual cuenta con una
especificación para la seguridad de los sistemas ISMS (Information Security
Management System), la cual se puede implantar de manera independiente de las
tecnologías de información, esto es importante para no atarse a un proveedor o a
una tecnología. El título de dicho estándar es:
Information Technology Security Techniques Information Security Management
Systems Requirements. ISO 27001.
El documento está formado por los siguientes capítulos:
ISO/IEC 27000 – Introducción y vocabulario.
ISO/IEC 27001:2005 – Requerimientos para un ISMS.
ISO/IEC 27002:2005 – Code of Practice for Information Security.
100
ISO/IEC 27003 – Guía de implementación de un ISMS.
ISO/IEC 27004 – Information Security Management Measurement.
ISO/IEC 27005 – Information Security Risk Management.
ISO/IEC 27006 Requerimientos para la auditoría y certificación de sistemas de
gestión de la seguridad de la información.
Como puede verse, el estándar cubre diversos aspectos para la gestión de
seguridad de un sistema de información.
La ISO/IEC 27001 incorpora el PDCA (Plan-Do-Check-Act) que significa "Planificar-
Hacer-Controlar-Actuar" veamos en qué consiste.
Plan (planificar): En esta parte se realiza la evaluación de los riesgos y se
seleccionan las medidas que los mitiguen.
Do (hacer): En esta parte se implantan las medidas seleccionadas.
Check (controlar): En esta parte se evalúan las medidas seleccionadas.
Act (actuar): En esta parte se corrigen los errores detectados.
Al seguir el PDCA se realiza una adecuada evaluación de la seguridad del sistema
de información.
Seguir un estándar como guía, permite una adecuada evaluación de la seguridad
del sistema de información, con el próximo objetivo de la certificación y la
acreditación (Calder, 2010, pp. 16-21).
101
3.6. Certificación y acreditación
La certificación y la acreditación son dos procesos que contribuyen a mejorar la
seguridad de un sistema de información, son dos conceptos que pueden parecer lo
mismo, pero tienen sus diferencias.
La certificación es el procedimiento mediante el cual un organismo otorga una
garantía por escrito, en otras palabras, un certificado de que un producto, o un
servicio cumple con ciertos requisitos y con el estándar, para poder emitir un
certificado.
Ahora bien, la acreditación es el procedimiento que evalúa la eficacia de una
organización al realizar una actividad; esto es, una organización decide acreditar las
actividades que realiza, con el objetivo de realizarlas de manera correcta, al igual
que en caso de la certificación, es necesario que una entidad externa acredite que
la organización realiza sus actividades de una manera adecuada.
Las diferencias entre la certificación y la acreditación son las siguientes: La
certificación determina si el producto o servicio fue realizado de acuerdo a un
estándar. La acreditación es un proceso que determina si la organización realiza
sus actividades con eficacia.
Ahora bien, en el caso de la seguridad en los sistemas de información, la
certificación determina si un sistema de información fue implementado de acuerdo
a un estándar de seguridad. Y eso es lo que una organización busca principalmente.
La acreditación no es algo que una organización busque de manera primordial, ya
que la acreditación permitiría a dicha organización certificar a otras entidades.
102
En el caso de los sistemas de información, la ISO es una de las entidades más
importantes en el desarrollo de estándares de seguridad, la cual está acreditada
para realizar certificaciones de seguridad.
Otra entidad involucrada en la seguridad de los sistemas de información es la
Comisión Electrotécnica Internacional, en inglés: IEC (International Electrotechnical
Commission), la cual es una organización de normalización en las áreas de la
electricidad y la electrónica.
Los principales estándares relacionados con la seguridad de la información y la
certificación de los productos tecnológicos han sido desarrollados por la ISO y el
IEC. Los estándares más conocidos a nivel internacional son los siguientes:
ISO/IEC 13335: Guidelines for Management of Information Technologies Security
(Guías para la Gestión de la Seguridad) Estándar para la gestión de riesgos en
sistemas de información y redes.
ISO/IEC 15408: Common Criteria, (Criterios Comunes). Criterios Comunes para la
evaluación de productos de seguridad.
ISO/IEC 21827: Systems Security Engineering (Ingeniería de la Seguridad de los
Sistemas) Evaluación de los procesos relacionados con la gestión de la seguridad.
ISO/IEC 17799 (BS-7799): Information Security Management (Gestión de la
Seguridad de la Información) Estándar que define buenas prácticas mediante el uso
de controles para mejorar la gestión de la seguridad.
ISO/IEC 27001: Information Security Management Systems Requirements
(Requisitos para los Sistemas de Gestión de Seguridad de la Información), Estándar
que permite certificar la implantación de un sistema de gestión de la seguridad de
la Información.
Proceso de certificación
El proceso de certificación debe ser realizado por una entidad externa y acreditada.
La certificación es un reconocimiento a las buenas prácticas de la gestión de la
seguridad de la información.
103
El proceso de certificación consta de dos etapas:
La consultoría
Un consultor o consultores ayudarán a la organización a cumplir con los requisitos
de certificación, como las políticas de seguridad, la adecuada utilización de las
herramientas de seguridad, la utilización de procedimientos adecuados, etc. Y si
fuere el caso habrá que realizar ajustes en la gestión de la seguridad de la
información.
La auditoría
Un auditor de un organismo acreditado, se encargará de revisar los procedimientos
de la gestión de la seguridad, para determinar si cumplen con la norma. (von Solms,
2009, pp. 58-59)
104
RESUMEN
La seguridad de los sistemas de información y de los equipos de cómputo es un
tema de suma importancia, pues en un sistema de información se aloja información
sensible que solo debe ser utilizada por las personas autorizadas y capacitadas
para su utilización. Además, dicha información debe estar alojada en equipos
seguros, y si sucediera un evento inesperado, se debe contar con los mecanismos
para la recuperación de la misma.
La adecuada implementación de mecanismos de seguridad, y el seguimiento de
estándares disminuyen los riesgos y hace más robustos a los sistemas, ante las
amenazas externas o internas, y a los ataques de delincuentes.
Cabe destacar que la seguridad de los equipos en la actualidad, se ve
comprometida debido al uso de Internet, en la actualidad es prácticamente imposible
que un sistema de información no utilice la red de redes, y debido a que Internet es
una red pública, es una red insegura, ya que cualquier persona, en cualquier parte
del mundo, puede acceder a ella sin restricciones, por lo que es importante utilizar
mecanismos preventivos y correctivos de manera adecuada; además de
implementar adecuadas políticas de seguridad, y de seguir las recomendaciones
que dicta un estándar de seguridad y, por último, mas no menos importante,
capacitar al personal de manera adecuada para que realice sus actividades en el
sistema de información de manera segura.
Todas estas medidas harán que un sistema de información sea más seguro, y
aunque la utilización de estas recomendaciones no garantiza la seguridad a 100%,
el sistema será mucho más seguro que si no se utilizan.
105
BIBLIOGRAFÍA DE LA UNIDAD
Bibliografía sugerida
Autor Capítulo Páginas
Aguilera, Purificación 1. Seguridad Informática.
Introducción a la seguridad
informática
17
Aguilera, Purificación 1 Seguridad Informática.
Introducción a la seguridad
informática
24
Aguilera, Purificación 1 Seguridad Informática.
Introducción a la seguridad
informática
20-22
Calder Alan, Watkins, G Steve 1 Information Security Risk
Management for
ISO27001/ISO27002.
Risk Management
16-21
Von Solms, S.H., Von Solms R. 5. Information Security
Gobernance.
The use of best practice
standards and guidelines in
information security
gobernance
58-59
106
UNIDAD 4.
CRIPTOGRAFÍA
107
OBJETIVO PARTICULAR
Al finalizar la unidad el alumno conocerá las diferencias técnicas y algoritmos de
cifrado para que la información viaje de forma segura, así como los diferentes
mecanismos del criptoanálisis.
TEMARIO DETALLADO
(10 HORAS)
4. Valoración de la información en la organización
4.1. Introducción a la criptografía
4.2. Historia de la criptografía
4.3 Tipos de cifrado
4.4 Métodos de cifrado
4.5 Algoritmos criptográficos de clave privada
4.6 Algoritmos criptográficos de clave privada
4.7. Ventajas de la criptografía
4.8. Aplicaciones de la criptografía
4.9. Ataques
108
INTRODUCCIÓN
Si vamos al origen de la palabra criptografía, ésta proviene del griego "kryptos" para
lo oculto o escondido y "graphia", que es la cualidad de grabar o escribir. Si
buscamos el significado de la palabra en la Real Academia Española (RAE),
encontramos: "Arte de escribir con clave secreta o de un modo enigmático".
En términos informáticos, la criptografía es un conjunto de técnicas que nos
permiten ocultar nuestra información para quienes no deseemos que la vean,
dándole una capa de protección adicional; por lo que nos permite cifrar datos,
información o archivos, para que aun cuando los roben de alguna forma, éstos sean
incomprensibles, ilegibles e indescifrables, sin posibilidad de que personas no
autorizadas hagan su lectura, escritura, modificación o divulgación. El verbo que
usaremos para el uso de estas técnicas es cifrar.
La criptografía también puede usarse para proteger el acceso o el uso no autorizado
a un sistema informático o bien a los recursos de una red, previniendo que se le
deniegue el acceso de esos servicios a usuarios que no tengan una debida
autorización.
109
4.1. Introducción a la criptografía
Si pensamos en un texto, la criptografía transforma las letras que conforman el
mensaje en una serie de números (en forma de bits debido a que los equipos
informáticos usan el sistema binario) y luego realizar cálculos con estos números
para modificarlos y hacerlos incomprensibles. El resultado de esta modificación se
llama texto cifrado, en contraste con el mensaje inicial, que es un texto plano o
simple. Por otro lado, es necesario garantizar que el receptor del mensaje pueda
descifrarlo cuando lo reciba para poder entenderlo.
Entonces la criptografía funciona en los conceptos de cifrado y descifrado, los
cuales no deben confundirse con los conceptos de codificación y decodificación,
donde los datos se convierten de una forma a otra, pero no se modifican para ocultar
su contenido.
La encriptación se logra a través de los algoritmos, los cuales utilizan cálculos
matemáticos.
Con el intensivo uso de las redes, ha aumentado el uso de los sistemas
criptográficos porque como puede llegar a haber intercepciones de los paquetes
que viajan en la red, si un mensaje se envía en texto plano y es interceptado, los
paquetes podrían leerse tal como se han escrito y alguien poseería información que
no debería, la cual podría ser desde algo tan trivial como un correo electrónico hasta
algo más comprometedor como nuestros datos para realizar una transacción
financiera.
Hay muchos sistemas que permiten ocultar lo que escribimos, algunos muy
sofisticados y otros sencillos de descubrir en pocos intentos.
110
4.2. Historia de la criptografía
Como hace referencia Sigh (2000, pp. 11-59) en su libro Los códigos secretos, la
criptografía es tan antigua como la escritura, su uso regular se documenta en la
Edad Media con los árabes y en Europa en el Renacimiento.
Los siguientes tipos de cifrado que comenta Sigh son algunos ejemplos utilizados
en la antigüedad.
En el siglo V a.C. se usaba por los éforos espartanos una escítala para el envío de
mensajes secretos, la cual estaba formada por dos varas que tenían un grosor
variable y una tira de cuero o papiro. Se enroscaba el cuero o papiro y se escribía
el mensaje e forma longitudinal, luego se desenrollaba el cuero y quedaba a la
lectura como letras sin significado. Sólo podía desencriptarse la información con
una vara del mismo diámetro que la original sobre la que se escribió.
Escítala espartana Elaboración con base en: (s/a). (s/f). Encriptados” Recuperado el 21 de febrero de 2019 de
https://encriptados.wordpress.com/fotografias/
El cifrado Polybios se utilizó en el siglo II a.C. en la antigua Grecia usando el
alfabeto griego, pero se ha adaptado a otros alfabetos. La forma de utilizarse es
colocando las letras del alfabeto en una matriz que puede ser de 5x5, y colocando
tanto en las cabeceras de las columnas como de los renglones letras o números.
111
Si utilizamos el alfabeto en español, sin contar la Ñ y juntando I con J, tenemos
como resultado una matriz del estilo que se muestra abajo, y a partir de ella ciframos
el mensaje.
A B C D E
A A B C D E
B F G H I J K
C L M N O P
D Q R S T U
E V W X Y Z
Ejemplo: CRIPTOGRAFIA sería ACDBBDCEDDCDBBDBAABABDAA
Para descifrarlo, se toman las letras de dos en dos números en donde hacen cruce,
por ejemplo, la palabra criptografía usando la tabla de arriba, se traduce en lo
siguiente: C=AC, R=DB, I=BD, P=CE, y así sucesivamente cada letra, hasta dar
como resultado ACDBBDCEDDCDBBDBAABABDAA. Algunas variantes usan
números o bien una combinación de letras y números.
El cifrado César se utilizó en el siglo I a. C.; Julio César lo usó para enviar órdenes
a sus generales al campo de batalla. El cifrado se realizaba escribiendo el mensaje
con el alfabeto desplazado tres posiciones a la derecha. Usando el alfabeto en
español el sistema quedaría de la siguiente forma, por ejemplo, cifrando la palabra
criptografía: c=f (movido tres posiciones, como se presenta en el alfabeto cifrado),
r=U, i=l, y así sucesivamente hasta obtener fulswrjudild.
112
Alfabeto
normal
A B C D E F G N I J K L M N Ñ O P Q R S T U V W X Y Z
Alfabeto
cifrado
D E F G H I J K L M N Ñ O P Q R S T U V W X Y Z A B C
Ejemplo: CRIPTOGRAFIA sería FULSWRJUDILD
113
4.3. Tipos de cifrado
Cifrado por transposición
Consiste en crear el texto cifrado simplemente desordenando las unidades que
forman el texto original; los algoritmos de transposición reordenan las letras, pero
no las disfrazan.
Ejemplo: escítala.
Cifrado por sustitución
Consiste en sustituir las unidades del texto original por otras; Los algoritmos de
sustitución y los códigos, preservan el orden de los símbolos en claro, pero los
disfrazan.
Ejemplo: Polybios.
Cifrado simétrico
Para hacer una contextualización de su funcionamiento, piensa que vas a proteger
las puertas de tu casa, las cuales tienen obviamente cerraduras. Las cerraduras
requieren de la misma llave para abrir o cerrar la puerta; sabemos que hay una gran
variedad de chapas, algunas ofrecen más seguridad que otras y de forma similar
existen algoritmos de cifrado simétrico que ofrece más seguridad que otros.
Este tipo de cifrado sólo utiliza una clave para cifrar y descifrar el mensaje; tanto el
emisor como el receptor conocen previamente esa clave o llave, y este es su punto
débil, ya que, al hacer la comunicación de las claves entre ambos, puede llegar a
interceptarse esa llave, dejando vulnerable el proceso de comunicación.
114
Cifrado y descifrado de mensaje Elaboración con base en: (s/a). (s/f). U6.3 Esquema general de un sistema de cifrado simétrico.
Este cifrado puede realizarse electrónicamente o incluso de forma manual, por
ejemplo, creando un código de cifrado sencillo, como a=1, e=2, i=3, etcétera, y luego
cambiar el texto de un mensaje reemplazando las letras y números por su
correspondencia en el código creado.
Ejemplo: la máquina Enigma.
Máquina enigma. La máquina Enigma usada por los nazis que un hombre halló en un mercado de
pulgas y se subastó por miles de dólares.
115
Cifrado asimétrico
Utiliza dos claves o llaves: una pública que se puede difundir a las personas que
necesiten enviar algún texto cifrado y una privada que no debe conocerse. Así, si
deseamos que alguien nos envíe un archivo cifrado, debemos enviarle nuestra clave
pública, la cual está vinculada a la privada, y al enviarnos el archivo podremos
descifrarlo con la clave privada.
Aunque se conoce la clave pública y de ahí se genera la privada, a través de
complejos algoritmos se garantiza que esa clave sea segura al tener un tamaño
grande de bits, lo cual garantiza su fortaleza.
Si se desea tener una comunicación bidireccional se debe seguir el mismo proceso
teniendo dos pares de llaves, una para cada emisor -receptor.
Este tipo de cifrado suele utilizarse al escribir correos electrónicos para que no
puedan ser leídos por terceros.
La gran desventaja que los algoritmos de cifrado asimétrico es que son muy lentos,
por lo que se pensó en una criptografía que tomara lo mejor de ambos tipos.
Cifrado híbrido
Ramos (2004: 255) define a este tipo de cifrado como el que aprovecha las ventajas
del simétrico y el asimétrico, conociendo que el primero es inseguro y el segundo
es lento.
116
Para enviar un mensaje o archivo con este sistema, seguimos los siguientes pasos:
Se genera una clave pública y otra privada para el receptor.
Se cifra el archivo de forma síncrona.
El receptor envía su clave pública al emisor.
Se cifra la clave que usamos para encriptar el archivo con la clave pública
del receptor.
Se envía el archivo cifrado (síncronamente) y la clave del archivo cifrada
(asíncronamente y sólo la puede ver el receptor).
Funciones hash
Ramos (2004: 424) indica que, para garantizar la autenticidad, se cifra el mensaje
con una llave privada. Si extraemos una pequeña cantidad de información que
dependa del mensaje, eso nos asegura que cuando cambie el mensaje, cambiará
también la porción de información.
Si el mensaje es auténtico se tendrá el mismo resultado de la función de resumen y
se compara con el resumen descifrado con la llave pública, si son iguales se
garantiza que el mensaje es auténtico (lo envió quien dice enviarlo) y es íntegro (no
se modificó), así como si no son iguales puede suceder alguna de dos situaciones:
el mensaje no lo envió quien dice enviarlo (no es auténtico) o alguien modificó el
mensaje en el camino, por lo que en cualquiera de los dos casos no se puede confiar
en esa información.
Ese tipo de funciones se llaman de resumen o de hash, y son operaciones que se
aplican al mensaje para extraer una pequeña parte de él, así que al cambiar el
mensaje cambiará el resultado de la operación, incluso aunque el mensaje cambie
poco, el resultado cambiará bastante.
Al proceso de utilizar la función de resumen y aplicarle cifrado asimétrico con la llave
privada se le llama firma digital o firma electrónica.
117
4.4. Métodos de cifrado
El Estándar de Cifrado de Datos (DES por sus siglas en inglés Data Encryption
Standard) es un algoritmo de encriptado simétrico que cifra y descifra datos
utilizando bloques de 8 bytes y una clave de 64 bits, un tamaño que es pequeño
para la actualidad.
Triple DES (3DES) es una variante que utiliza claves de 64 bits para una clave de
192 bits. DES3 cifra en primer lugar el texto plano utilizando los 64 primeros bits de
la clave, luego el texto cifrado se descifra utilizando la siguiente parte de la clave. Al
final, el texto cifrado resultante se vuelve a cifrar utilizando la última parte de la clave.
El Estándar de Cifrado Avanzado (AES por sus siglas en inglés Advanced
Encryption Standard) es un algoritmo de cifrado por bloques utilizado por el gobierno
de los Estados Unidos como un estándar.
Dos modalidades de cifrado son:
Modalidad de secuencia, método de cifrado en el que se cifra cada byte
individualmente. Por lo general se le considera un cifrado débil.
Modalidad de bloques, método de cifrado en el que el mensaje se divide en
bloques y el cifrado se realiza individualmente en cada bloque.
AES se basa en distintas sustituciones, permutaciones y transformaciones lineales,
y cada una es ejecutada en bloques de datos de 16 bytes. Esas operaciones se
repiten varias veces en "rondas" y durante cada ronda se calcula una clave circular
única a partir de la clave de cifrado, incorporándola a los cálculos. Se basa en la
estructura de bloques de AES con cambio de un solo bit, ya sea en la clave o en el
bloque de texto sin cifrado, dando como resultado un bloque de texto cifrado
completamente distinto.
118
La diferencia entre AES-128, AES-192 y AES-256 es la longitud de la clave, de 128,
192 o 256 bits, respectivamente, con lo que este estándar es el preferido de
gobiernos, bancos y sistemas con necesidades de alta seguridad.
En su libro “Fundamentos de seguridad en redes: aplicaciones y estándares”,
Stallings (2003, p. 81) indica que RSA (siglas de los apellidos de sus creadores
Rivest, Shamir y Adleman), es un sistema de cifrado asimétrico muy utilizado,
trabaja con dos claves distintas: una pública y una privada, la cual no puede
calcularse a partir de la pública como en la mayoría de los sistemas asimétricos.
La seguridad de RSA se basa principalmente en el problema matemático de la
factorización entera, y un mensaje que está a punto de ser cifrado se trata como un
gran número. Al cifrar el mensaje, se eleva la fuerza de la llave y se divide con el
resto por un producto fijo de dos primos. Repitiendo el proceso con la otra clave, el
texto sin formato se puede recuperar de nuevo. Un método para romper este cifrado
requiere factorizar el producto utilizado en la división, pero por ahora no es posible
calcular estos factores para números mayores de 768 bits, por lo que los
criptosistemas modernos utilizan una longitud mínima de 3072 bits para la clave.
A la vez, Stallings (2003, p. 43) también hace mención de Blowfish, que es un
cifrado de bloques de datos de 64 bits (8 bytes) que utiliza una clave de tamaño
variable. Regularmente las claves de 128 bits (16 bytes) se utilizan para un cifrado
fuerte.
119
4.5. Algoritmos criptográficos de clave privada
En esta familia se encuentra el conjunto de algoritmos diseñados para cifrar un
mensaje utilizando una única clave conocida tanto por el emisor como por el
receptor de un mensaje, de manera que sólo pueda descifrarse si se conoce esa
clave secreta. Algunas características son:
No se puede obtener el mensaje original ni la clave que se ha utilizado a partir
del mensaje cifrado, aun cuando se conozca el algoritmo criptográfico
utilizado.
Se utiliza la misma clave para cifrar el mensaje original que para descifrar el
mensaje codificado.
Emisor y receptor deben haber acordado una clave común por medio de un
canal de comunicación confidencial antes de poder intercambiar información
confidencial por un canal de comunicación inseguro.
Los algoritmos simétricos más conocidos son: DES, 3DES, RC4, RC5, IDEA,
Blowfish y AES.
RC4 es un algoritmo de cifrado de flujo con tamaño de clave variable y operaciones
a nivel de byte. Es de rápida ejecución en software y se emplea para la encriptación
de archivos o bien la comunicación en protocolos como el SSL /TLS.
RC5 aplica operaciones XOR sobre los datos, que pueden ser de 32, 64 o 128 bits.
Permite diferentes longitudes en la clave y un número variable de iteraciones,
aumentando exponencialmente la seguridad del cifrado cuando el número de
iteraciones es mayor.
120
Ortega (2005, p. 42) también describe IDEA (por sus siglas en inglés de
International Data Encriptión Algorithm), que aplica una clave de 128 bits sin paridad
a bloques de datos de 64 bits. Se realiza una secuencia de iteraciones
parametrizadas alterando los datos de entrada, produciendo bloques de salida de
texto cifrado de 64 bits. IDEA combina operaciones matemáticas como XOR, sumas
con acarreo de módulo 2¹⁶ y multiplicaciones de módulo 2¹⁶+1, sobre bloques de 16
bits, lo que lo hace muy resistente ante un ataque de fuerza bruta, ya que sería
necesario probar 1038 claves.
121
4.6. Algoritmos criptográficos de clave pública
Tal como menciona Stallings (2003, p. 71), un cifrado de clave pública (también
llamado asimétrico) utiliza una pareja de claves, pública y privada, en donde una se
usa para cifrar (emisor) y la otra para descifrar (remitente).
Ambas claves están relacionadas por un algoritmo, es decir una función
matemática. Las claves se calculan usando la función y la inversa de ésta, pero la
función inversa es una función sumamente compleja, con lo que resulta bastante
difícil o casi imposible de calcular para hacer el descifrado de una manera sencilla.
Cada participante en un sistema de claves públicas posee un par de claves; la clave
privada se mantiene secreta y la pública se distribuye a quien la desee. Cualquier
usuario puede cifrar un mensaje utilizando su clave pública, pero sólo a quien dirige
el mensaje es quien puede leerlo utilizando su clave privada.
De forma parecida, puede cifrar un mensaje para cualquier otro utilizando su clave
pública y, a continuación, descifrándola utilizando su clave privada. Entonces podrá
enviar el mensaje de forma segura a través de una conexión no segura.
Diffie-Hellman Key Exchange es un protocolo para realizar el intercambio de
claves. No es un cifrado, se creó para solucionar el problema de los cifrados de
clave privada (o simétricos) en el intercambio de claves.
RSA se basa en un problema matemático de factorización de números primos y es
un algoritmo de cifrado asimétrico o de clave pública, que ha pasado a ser de los
más utilizados actualmente; ya que la mayor parte de los sitios hoy corren sobre
SSL/TLS (Secure Socket Layer / Transport Layer Security), permitiendo la
122
autenticación mediante este algoritmo. RSA cifra y descifra información, así como
provee servicios de autenticación e integridad, mediante lo que se conoce como
infraestructura de clave pública.
DSA es el algoritmo de firma digital (DSA por sus siglas en inglés Digital Signature
Algorithm) que emplea un algoritmo de firma y cifrado. Fue propuesto por el National
Institute of Standards and Technology (NIST) en 1991 y fue adoptado por los
Federal Information Processing Standards (FIPS) en 1993 y desde entonces ha
tenido varias revisiones. Ofrece el mismo nivel de seguridad que RSA.
Criptografía con curvas elípticas es parte de estándares industriales. Utiliza
criptosistemas basados en el problema del logaritmo discreto, como los de tipo
ElGamal, que se plantean en el grupo de puntos de una curva elíptica y garantizan
la misma seguridad que los construidos sobre el grupo multiplicativo de un cuerpo
finito con longitudes de clave menores. Se utiliza en sistemas de votación
electrónica, tarjetas inteligentes, identificación por radio frecuencia, entre otros.
Claves públicas y privadas
123
4.7. Ventajas de la criptografía
Tanto el cifrado simétrico como el asimétrico tienen ventajas y desventajas, y
conocerlas puede hacer que nos decidamos por utilizar uno u otro. (Stallings, 2003,
p. 59) menciona algunas:
Ventajas del cifrado simétrico
Es muy sencillo de utilizar.
Muy conocido y utilizado por los desarrolladores, sólo utiliza una clave.
Es rápido y utiliza menos recursos informáticos que otros tipos de cifrado.
Si se utilizan distintas claves compartidas para varias personas, cuando una
clave está comprometida sólo una persona se verá afectada, en lugar de
todos.
Se utiliza en el cifrado de mensajes.
Se garantiza la confidencialidad y la integridad.
Ventajas del cifrado asimétrico
Es un cifrado seguro.
Maneja un número de claves reducido, ya que cada persona sólo necesita
un par de claves.
No se requiere transmitir la clave privada entre el emisor y el receptor.
Se pueden firmar documentos, certificando la identidad del emisor, firmando
con la clave privada y verificando la identidad con la clave pública.
Se utiliza en el cifrado de mensajes, firma digital e intercambio de claves.
Se garantiza la confidencialidad, la integridad, el no repudio y la autenticidad
del origen.
124
4.8. Aplicaciones de la criptografía
La criptografía es una disciplina con una creciente cantidad de aplicaciones, porque
se ha acrecentado la necesidad de asegurar todo tipo de comunicaciones,
mensajes, archivos, sistemas, etcétera. Algunas aplicaciones que menciona
(Stallings, 2003) de forma más detallada son:
Seguridad en redes. Establece un canal seguro de comunicación con este
tipo de cifrado, ya que, al no enviar datos en texto plano, aunque haya
intercepciones en el canal, los paquetes interceptados no podrán leerse tal
como fueron escritos.
Autenticación de usuarios. Con la criptografía y las firmas digitales se puede
identificar que el usuario, quien se trata de autenticar en un sistema, es o no
es quien dice ser.
Transacciones que involucren movimientos de dinero. Tanto el comercio
como la banca electrónica deben hacer uso de la criptografía, ya que deben
usarse canales seguros y cifrados al hacer el envío de información crítica de
los usuarios y de las transacciones que realizan.
Pensemos en el siguiente caso: en una red insegura debemos asegurar la identidad
de sus usuarios, que la información a la que tenemos acceso no ha sido modificada
por terceros y que la información que enviamos no pueda ser leída por personas no
autorizadas. Si navegamos por una página web en donde tenemos que colocar
nuestro nombre de usuario y contraseña, ¿cómo podemos asegurar que un
atacante no verá los datos que mandemos a esa página web?
Es necesario establecer mecanismos que garanticen la confidencialidad de la
comunicación, por lo que para este caso debemos asegurar que la información que
viaje en la red se cifre, y que, aunque sea interceptada, el atacante no pueda
entenderla. Hay protocolos de comunicación seguros que cifran los datos que
transportan, como SSH, HTTPS que utiliza SSL y TLS.
125
4.9. Ataques
El criptoanálisis trata de descifrar comunicaciones encriptadas sin conocer las llaves
correctas. Existen muchas técnicas criptoanalíticas que son en realidad ataques a
los distintos algoritmos, como los menciona Stallings (2003, p. 5):
Ataques a textos cifrados (Ciphertext-only attack)
En este ataque el atacante no conoce el contenido del mensaje y debe trabajarlo
desde el texto cifrado. Correos y documentos ordinarios comienzan de manera
previsible. Algunos muchos ataques utilizan "análisis frecuencial" del texto cifrado,
pero no funciona bien cuando se usan cifrados modernos.
Ataques de texto plano conocidos
El atacante conoce o adivina el texto original de alguna parte del texto cifrado y trata
de descifrar el resto del bloque cifrado con esa información. Puede determinar qué
clave fue utilizada para encriptar la información. El criptoanálisis lineal es de los
mejores ataques de texto plano en la actualidad y se usa contra cifradores de
bloques.
Ataques de texto plano seleccionado
El atacante puede tener cualquier texto encriptado con una llave desconocida y su
objetivo es determinar la llave con la que se encriptó la información. Un ejemplo de
este ataque es el criptoanálisis diferencial que puede aplicarse a cifradores de
bloques o en funciones Hash. RSA es vulnerable a este tipo de ataques.
Ataque de hombre en medio (MIM por sus siglas en inglés, Man in the Middle).
Este ataque se realiza a las comunicaciones criptográficas y a protocolos de
intercambio de llaves. Se lleva a cabo cuando dos partes intercambian llaves por
comunicaciones seguras y un intruso se posiciona en la línea de comunicación entre
ellos, interceptando lo que se envían y ejecutando un intercambio de llaves entre
126
ellos. Las dos partes terminarán utilizando llaves conocidas por el atacante, con lo
que podrá más tarde desencriptar cualquier comunicación entre ellos, y aunque
pensarán que su comunicación es segura, el intruso será capaz de revisar todos
sus envíos. Para prevenir este ataque se debe utilizar un sistema de clave pública
capaz de proveer firmas digitales, donde ambas partes conozcan de antemano la
clave pública de cada uno, y después de que se generan, las partes se envían firmas
digitales. El hombre en medio falla en el ataque porque no es capaz de falsificar las
firmas sin conocer las llaves privadas utilizadas para generar las firmas.
Ataques contra el hardware
En los últimos años se han estado utilizando dispositivos pequeños de criptografía,
con lo que ha surgido una categoría de ataques que ataca las implementaciones de
hardware de los criptosistemas. Los ataques utilizan datos que se obtienen del
dispositivo criptográfico, como información de la encriptación y de la llave. Por
ejemplo, el atacante adivina algunos bits de la clave y trata de verificar la exactitud
de lo adivinado estudiando la correlación contra lo que él adivinó.
Algunos ataques utilizan el cronometraje del dispositivo, medidas del consumo de
energía, así como patrones de radiación para obtener la llave secreta u otro tipo de
información almacenada en el dispositivo.
Fallas en los criptosistemas
Aprovechar fallas en los criptosistemas puede llevar a descubrir la llave secreta.
Algunos algoritmos se comportan de forma inesperada con la introducción de una
pequeña falla en el cálculo interno; por ejemplo, la implementación de una operación
de llave privada RSA es susceptible a ataques de fallas y si se provoca un bit de
error en el punto adecuado se puede revelar la factorización del módulo, con lo que
queda vulnerable la llave privada.
127
Criptoanálisis diferencial
Este ataque se realiza sobre algoritmos de cifrado por bloques iterativos, es un
ataque a un texto plano elegido que se basa en el análisis de la evolución de las
diferencias de dos textos planos relacionados que se han encriptado con la misma
clave. Analizando los datos disponibles se asignan probabilidades a cada una de
las claves posibles.
Criptoanálisis lineal
Este es un ataque a un texto plano conocido que usa una aproximación lineal para
describir el funcionamiento del algoritmo. Si se cuenta con varios pares de texto
plano y cifrado, se pueden obtener datos sobre la clave.
Explotación de claves débiles
Hay algoritmos en los que se pueden encontrar claves que se comporten de modo
especial, dando origen a ciertas regularidades en la encriptación o un bajo nivel de
encriptación. Si el número de claves débiles es pequeño no es de importancia, pero
si el algoritmo tiene muchas de estas claves, es fácil que llegue a verse
comprometido.
Ataques de correlación
Intentan recuperar parte de una secuencia de cifrado que ya se haya empleado.
Dentro de estos ataques hay una clase que podemos denominar “divide y vencerás”
en donde debe encontrarse un fragmento característico de la secuencia de cifrado
y atacarla con algún método de fuerza bruta, comparando las secuencias generadas
con la secuencia de cifrado real. Este método lleva a lo que se conoce como ataques
de correlación y ataques de correlación rápidos.
Algoritmos de resumen de mensajes
Las funciones de dispersión deben tener dos propiedades esenciales para la
criptografía: deben ser funciones de una sola dirección y no presentar colisiones. El
128
ataque por fuerza bruta selecciona aleatoriamente entradas del algoritmo y busca
alguna que dé el valor buscado (la función no es de una sola dirección) o un par de
entradas que generen la misma salida (la función tiene colisiones).
129
RESUMEN
La finalidad de la criptografía es permitir la transmisión de información secreta por
un canal público.
Contar con una comunicación segura es de gran interés actualmente, ya que han
crecido el número de ataques y cada vez somos más intercambiando información
por Internet, que es una red pública al alcance de cualquier persona desde
prácticamente cualquier lugar.
Aunque la criptografía es una disciplina tan antigua como la escritura, su desarrollo
se ha dado como una lucha entre quienes diseñan algoritmos para ocultar la
información y quienes tratan de descifrar esos algoritmos.
Conocer los algoritmos, sus fortalezas y debilidades, así como lo que se puede
mejorar en ellos, ha ido creando codificaciones más seguras y que aun cuando se
realice un ataque de fuerza bruta, se pueda contar con poco tiempo para descifrarlo
antes de que se pierda la oportunidad de seguir el ataque.
Ante un cifrado simétrico inseguro y uno asimétrico lento, se ha visto la posibilidad
de crear uno híbrido que permita tomar lo mejor de ambos, pero es necesario
conocer los ataques a los que están expuestos para realizar políticas de seguridad
acordes a la realidad de la empresa.
130
BIBLIOGRAFÍA DE LA UNIDAD
Bibliografía sugerida
Autor Capítulo Páginas
Singh, Simón 1. La cifra de María Estuardo,
reina de Escocia 11 a 59
Ramos, Benjamín 28. Un nuevo esquema RSA híbrido 254-258
Stallings, William 3.4. Criptografía de clave pública
y privada
81-84
Stallings, William 2.2. Algoritmos de cifrado simétrico 43
Stallings, William 2.2. Algoritmos de cifrado simétrico 42
Stallings, William 3.3. Criptografía de clave pública
y privada
71
Stallings, William 3.1. Criptografía de clave pública
y privada
59
Stallings, William 4. Aplicaciones de seguridad en redes 91
Stallings, William 1.2 Introducción 5-11
.
UNIDAD 5
SEGURIDAD FÍSICA
132
OBJETIVO PARTICULAR
Al finalizar la unidad, el alumno tendrá los conocimientos para implementar las
medidas necesarias para asegurar los recursos de sistema de una organización.
TEMARIO DETALLADO
(4 horas)
5.1. Requerimientos de instalaciones
5.2. Técnicas de control
5.3 Protección de las instalaciones y del personal
5.4 Amenazas a la seguridad física
5.5 Componentes de seguridad física
5.6 Redundancia
133
INTRODUCCIÓN
En la seguridad física se pueden revisar situaciones que podrán afectar a nuestros
sistemas, que no necesariamente tienen que ver con temas informáticos, pero es
necesario tomarlos en cuenta para la seguridad de la empresa, sus activos y por
supuesto todo lo que involucra a sus sistemas. El entorno, la forma de acceder a las
oficinas, los controles que se tienen, las alarmas o la ubicación son ejemplos de lo
que debe considerarse para crear políticas de seguridad, así como medidas
preventivas, correctivas o para actuar en el momento de un ataque.
El acceso físico que se tiene en la empresa conlleva que es el paso del personal de
la empresa y de terceros, como proveedores, empleados externos (por ejemplo, de
limpieza o reparación de equipos), visitantes; pero también puede ser de personas
mal intencionadas que tengan como propósito el robo de información o algún acto
no autorizado que pueda vulnerar cualquier elemento del trabajo diario de la
empresa, por lo que se debe cuidar y fortalecer.
Al autorizar la entrada de personas se debe autenticar que son quienes dicen ser,
ya sean colaboradores o personas ajenas a la empresa.
Otro punto importante es conocer la naturaleza del lugar, cómo es el clima, si hay
temporadas de tormentas, huracanes o es una zona de alto riesgo sísmico.
Cuando se piensa en los controles, la autenticación, la protección de las oficinas y
todo lo que implica la seguridad física, podremos revisar que la inversión puede
llegar a ser muy alta, y debe valorarse si en verdad es necesaria o si el beneficio de
adquirirla tendrá un buen retorno.
134
Desafortunadamente la seguridad no la contemplan muchas empresas, ya que en
lugar de prevenir resuelven los problemas que se van presentando, y la seguridad
física es la que menos se contempla al diseñar los sistemas de seguridad, pero debe
considerarse como algo importante, debido a que, sin políticas de seguridad
apropiadas, el riesgo de sufrir daños físicos, pérdidas de información, equipos o
incluso vidas, y el consecuente costo financiero, es muy alto.
135
5.1. Requerimientos de instalaciones
Ubicación
Basándonos en el Manual de la metodología abierta de testeo de seguridad, por sus
siglas en inglés OSSTMM (Vincent Herzog, 2003), la ubicación tiene que ver con la
ubicación física de una organización, para lo cual se debe tener un mapa de
ubicación física de los bienes y listados de la ubicación física de las puertas o áreas
de acceso, de los puntos de acceso vulnerables en esa ubicación y de los accesos
de terceras partes.
Para proteger esto, se debe tener un listado de las áreas de la organización que son
visibles, las que son audibles y las que dan acceso al abastecimiento de recursos.
Es útil también contar con una lista de empresas y empleados de abastecimiento de
recursos, de las empresas de limpieza que se contraten, las que realicen entregas
y los horarios y sitios donde se permiten las visitas, entre otra información.
Entorno
Tiene que ver con la forma de obtener acceso a una organización o a sus bienes, a
través de puntos débiles en su entorno y en su protección contra elementos
externos.
Se deben revisar las condiciones climatológicas del lugar y la probabilidad de
desastres naturales, los procedimientos de resguardo y protección, las condiciones
políticas y sociales, los impedimentos que pueda haber frente a las condiciones
climáticas, y conocer las leyes, costumbres y ética local / regional.
136
Dado esto, podemos imaginarnos que no es lo mismo tener oficinas en la Ciudad
de México que en Los Cabos, o incluso en la misma ciudad no se tienen las mismas
políticas en oficinas ubicadas en Polanco, Santa Fe o Coyoacán.
Lo habitual es que las empresas instalen sus oficinas en un lugar donde les
conviene económicamente asegurando que tengan buena visibilidad y acceso a sus
clientes potenciales, dejando de lado una investigación seria del entorno, la
ubicación y sus alrededores. Esto es un error, porque tomarlo en cuenta a tiempo le
ahorraría a la empresa muchos problemas.
¿Qué puedo revisar inicialmente?
Estado de la construcción y lugar de las instalaciones.
Construcción, estructura y materiales empleados.
Zonas aledañas, asociaciones civiles o fuerza pública cercanas.
Medio ambiente y visibilidad.
Áreas vulnerables que se detecten en la instalación.
Usos y costumbres de los habitantes de la localidad y de la región.
Clima político y social de la localidad y de la región.
Regiones vecinas afectadas por el orden público.
Sistemas de extinción de incendios.
Medios de comunicación transporte.
Iluminación.
Vías de acceso.
Sistemas de control.
Los centros de datos, de procesos o de operaciones relacionadas con las
tecnologías de información, deben ser construidos con materiales adecuados a lo
que contendrán. Entre los controles que se deben implementar, se deben considerar
que soporten cualquier tipo de ataque desde el exterior, excluyendo armamento
pesado, ya que ese es un tema de estudio distinto, pero debe revisarse que los
137
materiales con que se construyan no generen incendios o sean de materiales
inflamables, que no se deterioren fácilmente ante las condiciones climatológicas,
hay que tener en cuenta que los incendios son la causa más frecuente de pérdida
de equipos e información, por lo que los sistemas anti-incendios son indispensables;
deben construirse sin ventanas al exterior, ya que esto facilitaría la tendencia al robo
o al acceso indebido. Si no se contemplan ventanas, será necesario contar con un
sistema de ventilación adecuado, resistente al calor y a la humedad. Hay que tratar
de que la instalación de todo el equipamiento que se vaya a colocar no llame la
atención o pueda dar a suponer en dónde se alojará el centro de datos o información
importante, y que permanezca lo más neutral posible.
Clasificación de las instalaciones
También se debe considerar el control perimetral de las instalaciones del centro de
datos o de los edificios que almacenen información o equipos críticos. Se debe
identificar si las edificaciones son consideradas de alto, mediano o bajo riesgo, y
con ese dato ubicarlos en donde genere menos problemas. Las instalaciones de
alto riesgo tienen en su estructura, datos, sistemas con información confidencial y
con un alto valor, ya sea en el mercado nacional o internacional; a todo lo que sea
de valor para una empresa se le conoce como activos, y son los que deben
resguardarse más celosamente. En caso de que llegase a extraerse información,
esto seguramente ocasionaría un daño financiero de gran dimensión, no sólo para
la empresa, sino para sus socios.
Las instalaciones de riesgo medio tienen como característica principal que al
detener su operación puede causarse un daño considerable a la compañía, que
tendrá que pagar un costo alto para recuperarse de la situación, pudiendo repercutir
en la comunidad o con los agentes relacionados a los datos que maneje.
Difícilmente ocasiona un daño material de consideración.
138
Las instalaciones de riesgo bajo permiten la operación de la empresa casi sin daños,
y aunque pueden generarse retrasos en su operación, éstos no llegan a ser
significativos, así como tampoco son altos los gastos que se produzcan para
recuperar la operatividad.
Relación del equipo, importancia y tamaño relativos
El espacio en el que se ubicará el centro de datos debe considerar el tipo de equipos
que se vayan a instalar en él. Deberá considerarse la instalación de racks donde se
ubiquen equipos de telecomunicaciones y servidores, que necesitarán entradas con
un acceso controlado, instalación de alarmas y, en general, un mayor porcentaje de
seguridad que las áreas en donde se tengan los equipos de la mayor parte del
personal de la organización.
Debe analizarse muy bien la forma en la que trabaja la empresa, conocer las áreas
importantes, ya que hay algunas que tienen un tráfico de datos de mayor
importancia, en conjunto, que la que guarda un servidor empresarial. El tamaño de
la empresa también sirve para determinar las zonas de alto impacto. Un buen
indicador es el costo en tiempo y económico que significa la recuperación del centro
y basado en este dato, determinar el grado de inversión a realizar. Debe ubicarse el
centro de datos lo más alejado del paso cotidiano del personal, visitas y público en
general; alejarlo de fuentes de radiación, electromagnéticas y magnéticas.
Vías de comunicación
Un control que a veces se pasa por alto, es la cercanía con vías férreas, caminos y
puentes de tráfico pesado. La vibración ocasionada por ese tipo de tráfico puede
ocasionar daños en los lectores de los equipos de cómputo, aunque sea una
vibración a muy baja escala. En la actualidad, los equipos están diseñados para
prevenir ese riesgo, pero el paso de tráfico continuo puede ocasionar daño
139
permanente en los equipos. El peso del edificio junto con el equipamiento, personas
y materiales debe ser considerado en la construcción y selección del terreno, para
evitar hundimientos o deslizamientos que en un futuro acarreen la necesidad de
trasladar los bienes a otro espacio físico.
Factores inherentes a la localidad
Se consideran importantes tres factores a analizar en cuanto a las condiciones del
medio ambiente externo en la localidad en que se sitúen las instalaciones de la
compañía y en particular el centro de datos: los factores climatológicos como el frío o
calor extremos, la humedad ambiental hasta agua o inundaciones por lluvias, ciclones
o tormentas frecuentes, así como sismos y peligros de terremotos que puedan provocar
deslaves en colinas o cerros aledaños. La prevención en estos casos radica en la
selección del terreno más apropiado en que se construirán las instalaciones, así como
la cuidadosa planeación de la distribución de edificios y materiales con que se
construyan los mismos.
Otro factor es el de los servicios básicos con que cuenta la localidad, ya que deben
estar disponibles y ser suficientes para cubrir las necesidades operativas, desde contar
con agua, energía eléctrica, servicio telefónico, servicios sanitarios, drenaje,
recolección de basura, medios de comunicación y respuesta rápida cuando éstos fallen.
La prevención radica en la investigación en la localidad sobre los mismos.
Un tercer factor es el de la seguridad, que tiene relación con el ambiente y el entorno;
permite a los colaboradores realizar sus actividades cotidianas sin disturbios o riesgos,
en ausencia de delincuencia y con posibilidad de crecimiento para que permita la
llegada de transporte público, así como la llegada y tránsito de empleados, proveedores
y clientes. De la misma manera, la geografía del terreno circundante debe garantizar
que en las instalaciones no se llegue a producir una depresión que ocasione en época
de lluvias inundaciones, que se encuentre en el paso de una corriente pluvial o bien que
no haya maleza seca en grandes extensiones que pueda producir un incendio.
140
5.2. Técnicas de control
Los controles de acceso también están relacionados con el tema de la seguridad
física que se indica en OSSTMM. Estas técnicas nos ayudarán a evaluar si el acceso
físico a las instalaciones de una empresa es acorde a los activos que se protegen
dentro de ella.
Para esto se debe realizar una lista de los accesos físicos, si se realiza algún tipo
de autenticación, ya sea electrónica o manual, si se tienen instalados sistemas de
alarmas y qué las activan, así como la forma de desactivarlas y las personas
autorizadas para esta acción y a las que les llegan las alertas.
Algunos controles que se pueden instalar en una empresa son los siguientes, y se
deben seleccionar dependiendo de la forma en la que estén ubicados y lo crítico de
los activos a resguardar:
1. Guardias de vigilancia. Este personal debe estar capacitado en el tipo de
usuarios que tienen permiso de acceso y si deben mostrar algún elemento
para permitirles la entrada, como alguna credencial; si éste es el caso, la
persona se identifica por algo que posee. La desventaja es que algunos tipos
de tarjetas pueden reproducirse con facilidad, facilitando el ingreso de
personas no autorizadas. Otra forma de ingreso que puede utilizarse es a
través de algún sistema biométrico, aunque estos por lo general son costosos
y debe analizarse si es necesaria su compra y si reportará beneficios su uso.
También debe observarse que en algunas empresas será necesario tener un
control vehicular, ya que es frecuente que se reporten robos por ingresos en
vehículos. La principal desventaja de los guardias es que pueden llegar a
recibir algún soborno para permitir el ingreso de alguna persona no
autorizada.
141
2. Detector de metales. Hay algunas empresas en donde se requiere hacer una
revisión de las personas que ingresan y si llevan algún tipo de metal,
pudiendo ser desde equipos electrónicos hasta algún tipo de arma no
autorizada en las instalaciones. Por lo general actúan como un elemento
disuasivo y los empleados deben conocer la lista de los artículos permitidos
y los no permitidos.
3. Sistemas biométricos. Este tipo de tecnología realiza mediciones
electrónicas, con las que compara características únicas para la
identificación de personas. Estos sistemas pueden eliminar la contratación
de guardias, ya que carece de sus desventajas, aunque por lo general son
sistemas costosos; si se hace un análisis costo-beneficio puede resultar más
barato a mediano plazo. Algunos sistemas biométricos comparan la huella
digital, hacen reconocimiento facial, verificación de voz o patrones oculares,
entre otros.
La importancia del control de acceso.
142
4. Verificación automática de firmas (VAF). En este caso lo que se considera es
lo que el usuario es capaz de hacer, aunque también podría encuadrarse
dentro de las verificaciones biométricas. Mientras es posible para un
falsificador producir una buena copia visual o facsímil, es extremadamente
difícil reproducir las dinámicas de una persona: por ejemplo, la firma genuina
con exactitud. La VAF, usando emisiones acústicas toma datos del proceso
dinámico de firmar o de escribir. La secuencia sonora de emisión acústica
generada por el proceso de escribir constituye un patrón que es único en
cada individuo, y, dicho sea de paso, ya algunos sistemas educativos a
distancia lo utilizan para identificar a sus alumnos. El patrón contiene
información extensa sobre la manera en que la escritura es ejecutada.
5. Seguridad con animales. Sirven para grandes extensiones de terreno, con la
ventaja de que sus órganos son más sensibles que los de cualquier
dispositivo; generalmente el costo de cuidado y mantenimiento se disminuye
considerablemente utilizando este tipo de sistema. Este sistema posee la
desventaja de que los animales pueden ser engañados para lograr el acceso
deseado.
6. Protección electrónica. Se llama así a la detección de robo, intrusión, asalto
e incendios mediante la utilización de sensores conectados a centrales de
alarmas, las cuales tienen a su vez conectados los elementos de señalización
que son los encargados de hacerles saber al personal de una situación de
emergencia. Cuando uno de los elementos sensores detectan una situación
de riesgo, éstos transmiten inmediatamente el aviso a la central; ésta procesa
la información recibida y ordena en respuesta la emisión de señales sonoras
o luminosas alertando de la situación. Algunas son: barreras infrarrojas y de
microondas, detectores ultrasónicos, detectores pasivos sin alimentación,
sonorización y dispositivos luminosos, circuitos cerrados de televisión y
edificios inteligentes.
143
5.3. Protección de las instalaciones y del personal
La protección física de las instalaciones mantiene un ambiente seguro para el
personal que allí labora, así como a sus activos, permitiendo que se desarrollen sus
actividades de manera normal, cuidando las leyes y la propiedad intelectual.
Las actividades que se llevan a cabo en las distintas organizaciones ya sean
públicas o privadas, nos hacen llegar a la conclusión de que ninguna norma de
seguridad física puede divulgarse y aplicarse universalmente a todas las
organizaciones; cada una es distinta y tiene sus medidas precisas de protección. Lo
primero que se debe realizar es identificar a la mayor parte de los riesgos y
amenazas; entendiéndolas como toda actividad que puede causar pérdidas o
atentar contra los activos de la organización.
144
La protección de las instalaciones y el personal puede llevarse a cabo por medio de
lo siguiente:
Control de entrada
Es deseable tener personal en todas las entradas de la empresa, con la debida
capacitación para que dejen el acceso libre solamente a quienes estén debidamente
autorizados. Para la entrada y salida de personas con paquetes, muebles o equipos
deberán ser tratados como un caso especial, donde deberán revisarse
cuidadosamente, pero también sin detenerlos demasiado tiempo.
Identificación de personas y requisas
Toda persona que necesite ingresar a las instalaciones debe identificarse, informar
a qué persona visita, con qué motivo, si lo esperan y tiene autorización y el tiempo
que permanecerá en las instalaciones. Dependiendo del tipo de empresa, es posible
que se requiera que pase por un detector de metales, le hagan una revisión rápida
a paquetes que lleve, o que se le pida que indique si entrará con algún objeto en
particular que deba ser registrado, como una laptop, por ejemplo.
Sistemas principales
Se recomienda realizar un control de movimientos del personal, iniciando desde la
entrada y hacer un recorrido por cada una de las áreas de la empresa, observando
cuidadosamente si hay actitudes sospechosas, para prevenir situaciones de peligro.
También se deben realizar inspecciones periódicas sobre el área de personal y
sobre zonas que se identifiquen como vulnerables.
Control del área exterior
Cuando se vigila el área exterior, se deben tomar en cuenta las áreas periféricas de
la instalación, para detectar si hay personas o vehículos sospechosos. Es muy útil
que antes de hacer las inspecciones se investigue bien el área alrededor de la
145
empresa, con el tipo de personas que pasan por lo general por la zona, y si hay
otras empresas o locales comerciales.
Tarjetas de identificación.
Es deseable identificar a las personas externas con un artículo de identidad, el cual
puede ser una tarjeta, un gafete o algo similar que quede a la vista de todos. Pueden
utilizar códigos de colores para identificar las áreas que puede recorrer de forma
autorizada, y si se encuentra a una persona en alguna zona no autorizada, el
personal de seguridad podrá tomar acción según las medidas de seguridad que se
tengan contempladas.
Vector tarjeta de identificación.
Verificación telefónica
Si la empresa que se protege tiene material clasificado, es conveniente que los
guardias verifiquen vía telefónica si una persona que desea ingresar en realidad va
con la persona que indica o si tiene autorización para entrar al asunto que la lleve
ahí.
Identificación de vehículos
El personal de guardia vehicular deberá inspeccionar los vehículos, con la finalidad
de verificar qué es lo que transportan, e identificar plenamente a las personas que
se encuentren en ellos y adicionalmente registrar la entrada indicando color, placas,
marca y clase de todo vehículo que ingresa a las instalaciones. Es conveniente
establecer áreas de estacionamiento para el personal y otra para invitados.
146
Escolta
Si la empresa guarda activos muy importantes en sus instalaciones, puede
considerarse que un miembro de seguridad acompañe a los visitantes hasta donde
van a ser recibidos.
Áreas restringidas y prohibidas
Deben identificarse en la empresa las zonas que se deban resguardar fuertemente,
esas áreas dependen del giro, organización y activos, entre otras variables, de cada
organización. En algunos casos pueden ser almacenes, centros de datos, áreas del
personal, depósito de respaldos, entre otros. A esos lugares sólo deben tener
acceso personas autorizadas, no todo el personal de la empresa, y debe tener
señalamientos de que es una zona restringida.
147
Lugares de visita
Hay algunas instituciones, por ejemplo, las financieras que requieren de un área en
particular donde puedan recibir visitas, pero evitando que ingresen a las
instalaciones. Es recomendable que esta zona tenga cámaras de vigilancia y se
tenga a la vista un código de comportamiento dentro de ellas, por ejemplo, evitando
el uso de cámaras fotográficas o dispositivos móviles.
La aplicación de medidas aisladas de seguridad y protección física no funcionan por
sí solas, así que toda medida debe ser tomada como importante y profundizar los
niveles de protección.
Tomar en cuenta la protección física no tiene un bajo costo económico, pero sí es
muy redituable y en particular cuando se ha realizado de forma correcta y se tienen
medidas preventivas y correctivas para las vulnerabilidades que se conocen.
148
5.4. Amenazas a la seguridad física
La seguridad física consiste en colocar barreras físicas y procedimientos de control
como medidas de prevención y corrección contra las amenazas a los recursos,
personal y la información confidencial. Los recursos pueden ser desde un mouse de
computadora hasta los respaldos de la información que se maneja en una empresa.
Hay aspectos importantes que se deben tomar en cuenta, ya que existen las
siguientes amenazas:
Hardware
El hardware por lo general es de los recursos más caros de una organización, por
lo que las medidas que aseguran su integridad son una parte esencial de la
seguridad física, especialmente si se trata de universidades o centros de
investigación, que suelen poseer equipos especiales muy costosos, desde equipo
de trabajo, servidores hasta equipos de telecomunicaciones de última generación,
incluyendo los enlaces que se utilizan para la de transmisión de datos.
Acceso físico
La posibilidad de acceder físicamente a un servidor con cualquier sistema operativo
hace inútiles casi todas las medidas de seguridad que hayamos aplicado en la
seguridad lógica de los sistemas.
Debemos considerar que una persona mal intencionada podría llegar al lugar físico
donde están nuestros servidores, abrir un equipo y robar su disco duro, o bien
ingresar al lugar donde se hacen los respaldos y llevarse alguno. Este tipo de
ataques le dan posibilidad al delincuente no sólo de robar la información
almacenada, sino también modificarla, destruirla o publicarla. Con un poco menos
de tiempo o conocimientos de un delincuente, podría llegar a instalar por medio de
un USB un keylogger o un sniffer.
149
El nivel de seguridad física depende del entorno donde se ubiquen los activos a
proteger. Hay que tomar en cuenta que el acceso físico también puede darse en las
máquinas que tengan personal con acceso a los servidores, ya que un atacante
podría acceder a alguno de esos equipos y a través de él lanzar un ataque.
Desastres naturales
Evidentemente esta amenaza no está bajo nuestro control, pero si se realiza un
análisis serio de la zona y los desastres reportados en los últimos años, podremos
tener un plan de prevención, otro de contingencia y uno más para la recuperación
de lo que resultara dañado.
Se consideran desastres naturales los terremotos, deslizamientos de tierra,
tormentas eléctricas, erupciones, huracanes, tsunamis, inundaciones, humedad y
tormentas eléctricas entre otros.
Desastres del entorno
Hay algunos inconvenientes que puede llegar a tener el entorno. Si aún se está
haciendo un análisis de dónde se ubicarán las instalaciones de la empresa, se debe
revisar cómo se entrega la energía eléctrica, si hay ruido eléctrico, si hay cerca
lugares que puedan provocar incendios, explosiones o humo, si hay temporadas de
clima extremo, si hay un alcance a radiaciones electromagnéticas, señales de radar,
posibles fugas tóxicas o radiaciones. Si las instalaciones ya se han seleccionado y
150
se encuentra cerca alguno de los riesgos enunciados, deben redactarse políticas
para saber cómo protegerse, qué hacer en caso de que ocasionen un desastre y
qué hacer para recuperarse del mismo.
A menos que las instalaciones estén ubicadas cerca de instalaciones militares, una
planta de energía eléctrica, una fábrica de pirotecnia o algo similar, los problemas
más frecuentes son los que tienen que ver con el sistema eléctrico; pudiendo
provocar cortocircuitos, cortes de flujo o picos de tensión que pueden incluso
destruir el hardware donde se almacena la información de la empresa o bien a los
equipos de telecomunicaciones.
También debemos considerar las amenazas que pueden ser generadas por
personas mal intencionadas, como el robo del cualquier recurso o peor aún, de
algún activo de la empresa. El fraude realizado con equipos o en contra de la
organización también debe considerarse como una amenaza latente; el peor tipo de
fraude que se puede cometer es el que viene desde dentro de la empresa, ya que
por lo general son personas que cuentan con cierto nivel de privilegios y que saben
la operación regular, por lo que el daño que pueden provocar no es mínimo.
El sabotaje también es algo bastante temido en las empresas, ya que por lo general
un empleado o un grupo de empleados realiza acciones en perjuicio de la empresa,
provocando fugas de información, retraso en los proyectos, ataques informáticos,
desvío de fondos o alguna acción similar; la cual, por lo general, tarda mucho en
descubrirse.
151
5.5 Componentes de seguridad física
Quienes se dedican profesionalmente a la seguridad informática, saben que es
importante identificar en la empresa a sus recursos humanos, sus medidas
organizacionales y los medios técnicos.
1. Recursos humanos
Para la protección de bienes y personal de una empresa, es necesario que haya
apoyo de otras personas asignadas a esa labor. Esto aplica desde los guardias de
vigilancia hasta los auditores en seguridad informática, porque la seguridad es una
cuestión de todos. Para la selección del personal se recomienda considerar las
condiciones físicas, culturales, de formación y legales (locales, federales e
internacionales); y en caso de que no haya perfiles que cubran todas las
necesidades, enviar al personal a cursos de capacitación efectiva. En la selección
del personal se deben tomar en cuenta sus estudios, certificaciones, entrevistas,
test psicométricos y deberán verificarse todos los datos que proporcione.
2. Política organizacional
Contempla las normas y responsabilidades de cada área de la organización, y todo
el personal de la empresa debe conocerla y acatarla. Las políticas que se definan
en materia de seguridad deberán dictarse desde los niveles jerárquicos más altos
de la empresa, tomando en cuenta lo que protegen y cuáles son las situaciones de
amenaza, orientando las acciones a seguir ante las situaciones que se describan.
Las políticas nacen muchas veces a través de plantear situaciones y hacernos
preguntas: ¿Cómo se identifica a las personas que laboran en la empresa?, ¿se
permitirá a los visitantes el ingreso vehicular al estacionamiento?, ¿quiénes son los
responsables de las áreas?, ¿quién está autorizado para apagar alarmas?, ¿cuáles
son los procedimientos para realizar fumigaciones?, ¿existe un plan ante desastres
naturales?, ¿cuáles son las salidas para evaluar al personal ante un incendio?, entre
muchas otras.
152
Si están contempladas más situaciones, las políticas suelen ser más efectivas, por
lo que podemos decir que nunca están terminadas, ya que siempre se presentarán
situaciones no previstas, las cuales deberán incorporarse en las políticas de las
organizaciones.
Las políticas organizacionales deben estar implícitas en lo que la empresa espera
de todo su personal y el comportamiento ético del mismo, para minimizar los riesgos
personales como hurto, fraude, agresiones, sabotaje, espionaje, atentados,
vandalismo, etcétera.
3. Tecnología
La tecnología por sí misma no es una solución a los problemas de la seguridad
física, pero puede ayudar bastante a minimizar los riesgos o amenazas identificados
para la organización.
Entre la tecnología que podemos tener como apoyo se encuentran:
1. Tecnología para la protección activa o electrónica. Ejemplo de esto es la
monitorización a distancia, sistemas de control, sistemas de autenticación,
sistemas de alarmas con detección de distintos tipos de eventos, vigilancia
por circuito cerrado, cercas eléctricas, entre otras.
2. Tecnología para la protección pasiva. Señalización (señales de seguridad,
de evacuación, de extintores), protección contra robo de equipos o ingresos
no autorizados (ventanas blindadas y con sensores, puertas de seguridad
con autenticación), protección pasiva contra intrusión (cercos perimétricos,
torreones).
3. Todo el diseño tecnológico que sirva para la prevención y protección de
eventos debe contemplarse en la política organizacional.
153
5.6. Redundancia
Hay algunos sistemas en los que no se recomienda la redundancia por el costo que
implica, pero en la seguridad informática es necesario contemplarla, ya que a veces
eso nos ayudará a poder recuperarnos de un evento, sobre todo si se manejan
sistemas críticos. Con sistemas de alta disponibilidad, varios equipos hacen la
misma función, sincronizándose todos en el mismo estado. Si el equipo principal
llega a fallar, uno de los equipos redundantes ocupará su lugar, manteniendo al
sistema en funcionamiento y emitiendo una alarma a los administradores para que
solucionen el fallo del equipo.
Entre más equipos participen en el sistema, se podrán obtener tasas de fiabilidad
altas, sobre todo para la integridad de datos.
La replicación de los datos de un servidor de archivos principal en otros secundarios
es otra opción para aumentar la seguridad física en los sistemas de almacenamiento
o en servidores de aplicaciones, y se recomienda que las copias estén alojadas
físicamente lejos para que, ante cualquier desastre, no haya afectación a todos los
servidores. La diferencia de este sistema con el anterior es que éste no sustituye
automáticamente a un equipo dañado, pero sí tiene una copia de sus datos. ¿Cuál
es más conveniente? Depende de las actividades de la empresa y por supuesto de
su presupuesto, ya que el primer sistema es más costoso.
154
RESUMEN
Algunas organizaciones se enfocarán a la idea de tener buenos candados en las
puertas de sus oficinas, pero no prestarán atención al número de copias que se
hagan de las llaves y a quiénes se han repartido. De forma análoga, en la seguridad
física hay que tomar en cuenta los detalles y plasmarlos en las políticas.
Para crear una política de seguridad en verdad útil, primero deben conocerse los
activos de la empresa, y los riesgos y vulnerabilidades que enfrentan al tener tales
activos, así como los daños financieros, legales y de imagen que tendrían al
perderlos o verlos afectados.
Los detalles están en:
Cómo y dónde se guarda información importante o crítica. Discos duros de
computadoras, CD o DVD, almacenamiento en la nube, correo electrónico,
servidores web, memorias USB, discos duros externos, papel impreso, entre
otros. Es recomendable que los datos se cifren y llevar un control preciso de
quién tiene acceso a las llaves para descifrarlos.
Cómo se destruyen los datos críticos cuando ya no se necesitan. Para
medios físicos pueden utilizarse trituradores, garantizando que por ningún
medio se pueda recuperar la información contenida en ellos. Los borrados de
varias capas1 antes de su destrucción, es muy recomendable.
Algunas prácticas, como tener políticas de respaldo externo, son útiles contra
amenazas digitales y físicas.
1 El borrado de varias capas es una técnica para borrar de forma seguro un disco duro, que consiste en sobrescribir varias veces sobre los archivos, evitando que, mediante el uso de herramientas de recuperación de datos borrados, puedan visualizarse nuevamente los archivos.
155
Si, por ejemplo, al viajar eliges transportar una memoria USB en cualquier parte de
tu bolso y no en una bolsa plástica sellada en el fondo de tu equipaje, la elección
tiene que ver con la seguridad física, aunque la información que se protege sea algo
lógico.
Las políticas que consideremos correctas o convenientes dependen mucho de la
situación. En el caso mencionado, la elección puede cambiar si el traslado es corto,
si no se documenta el equipaje o si se trata de un vuelo con conexión con equipaje
documentado. Conocer las particularidades de cada situación es la que nos llevará
a tomar una decisión u otra.
156
BIBLIOGRAFÍA DE LA UNIDAD
Bibliografía sugerida
Autor Título Páginas
ISECOM Sección F. Seguridad física. Manual de la
Metodología Abierta de Comprobación
de la Seguridad (OSSTMM, Open Source
Security Testing Methodology Manual)
89 - 96
García-Cervigón;
Alegre
1.2 Introducción a la seguridad
informática
6 - 14
157
UNIDAD 6
SEGURIDAD EN LA RED
Y LAS TELECOMUNICACIONES
OBJETIVO PARTICULAR
Al finalizar la unidad, el alumno podrá implementar mecanismos de monitorización
de redes, pruebas de penetración para optimizar las redes y las telecomunicaciones
de una organización.
TEMARIO DETALLADO
(14 horas)
6. Seguridad en la red y las telecomunicaciones
6.1. Vulnerabilidades en TCP/IP
6.2. Seguridad a nivel WAN y LAN
6.2.1. Firewalls
6.2.2. Proxies
6.2.3. Traductores de direcciones de red
6.2.4. Transparencia
6.2.5. Tunneling
6.3. Traducción de direcciones de red (NAT)
6.4. Redes virtuales privadas (VPN)
6.5. Seguridad nivel red
6.6. Seguridad nivel transporte
6.7. Protocolos seguridad nivel aplicación
6.7.1. Transacciones electrónicas seguras (SET)
6.7.2. Secure Hypertext Transfer Protocol (S-HTTP/HTTPS)
6.7.3. Secure Remote Procedure Call (S-RPC)
6.8. Ataques de redes y medidas preventivas
159
6.8.1. Suplantación (ARP)
6.8.2. Fuerza bruta
6.8.3. Gusanos
6.8.4. Saturación (Flooding)
6.8.5. Eavesdropping
6.8.6. Sniffers
6.8.7. Spamming
6.8.8. Fraude y abuso en PBX
6.8.9. Spoofing
6.8.10. Flooding
6.9. Monitores de redes y analizadores de paquetes
6.10. Comunicaciones de voz seguras
6.11. Seguridad e-mail
6.12. Seguridad en comunicación instantánea (e.g. MSN, GTalk)
160
INTRODUCCIÓN
En este momento debemos tener en cuenta lo importante que es, para una empresa
o una persona particular, contar con conexión a la red para poder hacer búsquedas
de información, acceder a aplicaciones tanto web como móviles, hacer transferencia
de archivos, hacer compras o pagos, enviar correos, mensajes o hasta
comunicarnos con otras personas a través de llamadas o video llamadas, entre otros
servicios cotidianos. Es indispensable su uso, y por el tipo de información que
utilizamos diariamente, la seguridad informática tiene mucha relevancia, debido al
aumento de las amenazas con las que lidiamos día a día.
Algunos de los problemas que aquejan a los usuarios de las redes son el robo de
información y el robo de identidad, que en ciertos momentos ha hecho que el uso
del comercio electrónico y de la banca electrónica haya bajado notablemente. Este
tipo de robos pueden realizarse con cierta facilidad dependiendo de las condiciones
en las que se conecte el usuario, si tiene instaladas aplicaciones que protejan sus
operaciones, el cuidado con el que maneja su información, entre diversas buenas
prácticas.
También existen otros problemas de seguridad más enfocados al robo de la
información empresarial que, por supuesto, puede desencadenar pérdidas
financieras, pérdidas de clientes o de la confianza que le tienen a la empresa.
Por esta razón, el asegurar la red, aplicaciones y datos, no es una situación que
deba preocuparnos hasta que suceda algún imprevisto, sino que debemos tener
una cultura de prevención y manejar políticas de seguridad que nos aporten tanto
un beneficio personal como empresarial, y permear esto a todos los demás usuarios
que en conjunto forman también parte del ecosistema digital.
161
6.1. Vulnerabilidades en TCP/IP
Conociendo el modelo de capas TCP/IP, tenemos que cada una de las capas está
sujeta a posibles ataques, por lo que el equipo de seguridad de una empresa y los
auditores de seguridad deben mantenerse atentos y actualizados ante estos
posibles eventos.
Elaboración con base en: El taller del bit. (2012). El modelo TCP/IP. Recuperado el 22 de febrero de 2019 de http://eltallerdelbit.com/modelo-tcp-ip
Acceso a la red. Por lo general las redes Ethernet se basan en un sistema de
difusión para transmitir los paquetes, por lo que todos los equipos de la misma red
la reciben y sólo el destinatario se queda con los paquetes, pero esto hace posible
que pueda haber escuchas en la red, y si alguien tiene un sniffer y los paquetes
162
viajan sin cifrado, es muy probable que esa red tenga información que se pueda
robar fácilmente.
Internet y transporte. Cuando se realiza una comunicación entre diferentes equipos,
se corre el riesgo de que un equipo se haga pasar por otro, por ejemplo, el
destinatario de los mensajes, o bien que sea otro el que conteste los mensajes.
Aunque cada equipo es identificado con una dirección IP (lógica) y una dirección
MAC (física), puede haber equipos que se hagan pasar por otros y ocupar una de
esas direcciones.
Aun cuando ahora hay protocolos seguros, no todos los utilizan; por ejemplo, revisa
cuántas páginas web consultas que utilizan HTTPS y cuántas usan aún HTTP.
Aplicación. Como sabemos, las aplicaciones tienen sus muy específicas
vulnerabilidades, según el lenguaje de programación, las librerías, el sistema
operativo, y los protocolos que se utilicen; éstos últimos son los que le conciernen
a TCP/IP. Si alguien sabe cómo trabaja la aplicación podrá tratar de ejecutar un
ataque o incluso tratarse de una persona maliciosa que participó en el desarrollo de
la aplicación. Los ataques en esta capa, por lo general, permiten el acceso a los
datos, la ejecución de programas no autorizados o la difusión de programas o
archivos con virus o malware.
163
6.2. Seguridad a nivel WAN y LAN
Recordemos que hay varios tipos de redes (PAN, LAN, CAN, WLAN, WAN, MAN),
pero nos enfocaremos en LAN y WAN.
LAN (por sus siglas en inglés Local Area Network) o red de área local, es una
red con alcance limitado a un área relativamente pequeña, desde una
habitación, un piso, un edificio; por lo que es utilizada en oficinas, escuelas,
hospitales o empresas medianas.
LAN
164
WAN (por sus siglas en inglés Wide Area Network) o red de área amplia es
una red extensa geográficamente que utiliza medios de comunicación
variados, como satélites, cables interoceánicos o fibra óptica, entre otros.
Una WAN por lo general conecta varias LAN y puede conectar las redes entre
ciudades, países o continentes, por lo que es ideal para la conexión de
oficinas transnacionales.
Elaboración con base en: TheTechFaq. (2019). What Is WAN Emulation.
Ya que las WAN son redes de áreas mucho más grandes, como podrás imaginarte,
se involucran más equipos de telecomunicaciones para su conexión y no todos los
equipos son propiedad de la misma empresa ni están bajo la misma administración,
por lo que el control queda fuera del alcance del equipo de administración, lo que
las hace más propensas a amenazas externas. Al intervenir más equipos aumenta
la posibilidad de que ocurran brechas de seguridad, y se complejiza la operación.
Los equipos que se utilizan generalmente para la conexión de las LAN son de la
misma empresa donde opera la red: equipos de cómputo, cableado, switches o
hubs, que comparten la administración de un mismo grupo, por lo que se les
considera más seguras.
165
En ambos tipos de redes puede hacerse un plan de seguridad, por ejemplo, para
las LAN pueden configurarse firewalls tanto lógicos como físicos y mantener un
esquema jerárquico de usuarios y sus permisos de acceso a la red. Para las WAN
se pueden utilizar protocolos de comunicación seguros, hacer el cifrado de los datos
y utilizar VPN (por sus siglas en inglés Virtual Private Network), una red privada
virtual que permite trabajar como si estuviéramos en una red local (esta es la parte
virtual) pero los hosts no están físicamente conectados entre sí, sino a través de
Internet. Esto nos da ventajas de una LAN como el acceso a servidores o archivos
de la LAN, aunque estemos ubicados geográficamente lejos.
¿Qué es una conexión VPN, para qué sirve y qué ventajas tiene?
166
6.2.1. Firewalls
Un cortafuegos (traducción de la palabra firewall en inglés), es un sistema de
seguridad que actúa por lo general como primera defensa de una red contra virus,
gusanos, malware o ataques de fuerza bruta, entre otros. Hay firewalls de software,
que son programas de seguridad, o de hardware, que son ruteadores físicos; en
ambos casos protege la red de amenazas externas a través del monitoreo de su
tráfico, tanto el entrante como el saliente, tomando decisiones de permitirlo o
denegarlo; lo cual lo define el administrador mediante la configuración de reglas de
seguridad.
Importancia de los cortafuegos
6.2.2. Proxies
Un proxy es un equipo intermedio entre las peticiones de un cliente y un servidor
web destino, haciendo un filtrado de todos los paquetes que se comunican entre los
dos. El proxy recibe peticiones del cliente para acceder a página y le hace la petición
al servidor como si el proxy fuera el cliente, por lo que oculta la identidad del cliente.
Cuando se establece una petición desde un cliente para ver una página web, en
realidad quien responde al cliente es el proxy y el proxy recibe las páginas que envía
el servidor. Cuando el servidor necesite identificar la dirección IP que hace las
peticiones, siempre aparecerá la dirección IP del proxy y no del cliente.
167
Es común para algunas personas confundir este funcionamiento con el de las VPN,
pero éstas no sólo sirven para la navegación al ocultar también la dirección real de
quien se conecta.
El uso de un proxy puede ser el de acceder a páginas que tienen bloqueado su
contenido para algunos países, lo cual sucede muchas veces por temas de
derechos de autor. Usando un proxy, si un sitio web no muestra contenido para
algunos países en particular, puede el cliente hacerse pasar por un usuario de otro
país que sí tenga acceso acceso.
Qué es un proxy y cómo puedes utilizarlo para navegar de forma más anónima.
6.2.3. Traductores de direcciones de red
Los traductores de direcciones de red (por sus siglas en inglés Network Address
Translation, NAT o Traducción de Dirección de Red) permiten la comunicación entre
un cliente y un servidor que no están en el mismo segmento de red.
Cuando inició Internet, no se tenía idea de lo mucho que crecería, por lo que las
direcciones IPv4 contemplan 32 bits para realizar el direccionamiento, pero el
número de direcciones públicas superó la cantidad que permite ese número de bits,
168
haciendo que las direcciones IP públicas se agotaran. Ante este inconveniente
surgió una solución con NAT, que permite que dentro de una red se utilicen
direcciones IP privadas, las cuales sólo pueden identificar a los equipos localmente
pero no en Internet, haciendo la traducción de las direcciones privadas a una sola
dirección IP pública que puede identificar a los equipos dentro de Internet. Gracias
a este “parche”, las empresas con muchos equipos en sus redes sólo necesitan una
dirección IP pública para darle salida a Internet. También es muy utilizado en redes
domésticas que tienen conexión a Internet.
RANGOS DE DIRECCIONES PRIVADAS
CLASE A: 10.0.0.0 A 10.255.255.255
CLASE B: 172.16.0.0 A 172.31.255.255
CLASE C: 192.168.0.0 A 192.168.255.255
6.2.4. Transparencia
Transparencia de red en su sentido más general se refiere a la habilidad de un
protocolo de transmitir datos a través de la red de manera que realice sus funciones
sin que el usuario se dé cuenta de qué hace, cómo lo hace, o que intervenga en las
tareas que se encuentra realizando el usuario.
También se usa el término de transparencia cuando se refiere a la compresión de
datos, ya que alcanzarla es lo ideal cuando hay una pérdida en la compresión
debido a que comúnmente la comprensión genera pérdidas; así que alcanzar la
transparencia es cuando no hay o son imperceptibles los defectos de compresión.
Por ejemplo, supongamos que tenemos un archivo de video y que al ser comprimido
tuvo una pérdida, pero cuando se reproduce ese archivo, es prácticamente
indistinguible esa pérdida y se ve prácticamente como el original; en ese caso se
dice que el archivo comprimido alcanzó la transparencia y no se nota diferencia
entre el original y el comprimido.
169
6.2.5. Tunneling
En la comunicación en red, para establecer una conexión entre emisor y receptor,
ambos deben utilizar y comprender la forma en que se comunican los protocolos de
comunicaciones. Los paquetes cuando viajarán por la red se dividen en dos partes,
una donde se almacenan los datos y otra donde se almacenan datos de la
transmisión.
Un protocolo de tunelización encapsula en su datagrama otro paquete de datos
completo que utiliza un protocolo de comunicaciones diferente, y crea un "túnel" a
través del que pueden transmitirse de forma segura los datos. Este tipo de túneles
se utilizan en las redes privadas virtuales (VPN), pero tiene otras aplicaciones, como
incrementar la seguridad de los datos que viajan sin cifrado a través de una red
pública.
Como se indica en la página de Kaspersky, de forma muy entendible y concreta, un
protocolo de tunelización crea un túnel entre dos puntos de una red por el cual se
puede transmitir de forma segura cualquier tipo de datos. Ejemplos de protocolos
de tunelización están SSH, PPTP e IPsec.
Un peligro de usar la tunelización es que debido a que los protocolos de túnel
ocultan un paquete completo dentro del datagrama, pueden llegar a ocultar datos
para que pasen la configuración de ciertos firewalls, ya sea transportando protocolos
que debieran denegarse, o bien enviando malware.
170
6.3. Traducción de direcciones de red (NAT)
Los traductores de direcciones de red permiten la comunicación entre dos equipos
que no están en el mismo segmento de red. NAT es un estándar creado por la
Internet Engineering Task Force (IETF) que permite modificar las direcciones que
llevan los paquetes, enmascarando las direcciones de una red privada y permitiendo
que se conecten a Internet con una sola dirección pública. Recordemos que sólo se
puede identificar a un equipo en Internet cuando éste utiliza una dirección pública y
no una privada, dado que los equipos de enrutamiento no pueden enrutar las
direcciones privadas, por lo que para resolver de LAN a WAN se hace un
enmascaramiento que relaciona a la dirección privada con la pública.
¿Cuándo debo utilizar NAT? Cuando usamos IP v4, tenemos pocas direcciones
IP públicas asignadas por el proveedor de Internet (ISP por sus siglas en inglés de
Internet Service Provider) y la cantidad de equipos que se necesitan conectar a
Internet son más que las direcciones asignadas. Por ejemplo, normalmente en casa
nuestro ISP nos proporciona una dirección IP pública, pero tenemos conectada a la
red una máquina de escritorio, una laptop, cuatro smartphones, una tableta, la TV y
una consola de videojuegos, que en total dan nueve equipos que se conectan a la
red, así que el ruteador que te proporciona el ISP maneja NAT, asignando
direcciones públicas a tus dispositivos locales y haciendo su traducción a la única
dirección pública que te identifica.
Por supuesto que cuando se trata de una red empresarial, se tienen varios equipos
dentro de ella funcionando y tratando de conectarse a servicios en Internet, lo que
hace que NAT sea imprescindible. NAT también permite aprovechar los bloques de
direcciones reservadas:
171
0.0.0.0/8 10.0.0.0 - 10.255.255.255
172.16.0.0/12 172.16.0.0 - 172.31.255.255
192.168.0.0/16 192.168.0.0 - 192.168.255.255
Cuando los paquetes pasan por el equipo que realiza NAT, se modifican para que
parezca que su origen es dentro del equipo de NAT, pero registra los envíos en su
tabla de estado para revisar que el paquete concuerda con alguna conexión
establecida, luego que reciba las respuestas invertirá la dirección en los paquetes
devueltos y se asegurará que los paquetes devueltos pasen a través del firewall y
no se bloqueen.
Estos cambios no son evidentes para el emisor-receptor, para un equipo dentro de
la red interna el equipo NAT sólo es la puerta a Internet y para el equipo externo los
paquetes vienen directo del equipo NAT, por lo que la traducción de direcciones IP
es transparente incluso para el usuario final.
172
6.4. Redes virtuales privadas (VPN)
Una VPN es una red privada virtual que permite trabajar como si estuviéramos en
una red local aun cuando los hosts no están físicamente cercanos y la conexión se
haga a través de Internet.
Con una VPN podemos tener una red local sin las restricciones geográficas que nos
impone una LAN común, por lo que nos da más flexibilidad. En estas redes se usan
los túneles de datos y el tráfico de red va desde el equipo al del proveedor de
servicio de Internet y de ahí se dirige al servidor VPN que le dará el acceso a la red
a la que se conectará como si estuviera físicamente dentro de ella.
Qué es un proxy y cómo puedes utilizarlo para navegar de forma más anónima.
173
La conexión que se establece por lo general envía los datos cifrados y la dirección
IP es la del servidor VPN al que se conecta, por lo que también se utiliza para
navegar anónimamente. Hay quien utiliza una VPN para incrementar su seguridad
y navegar anónimamente y sin dejar muchos rastros, en otras ocasiones se utilizan
para ver contenido multimedia de otro país donde por restricciones de derechos de
autor no llegan a reproducirse.
Las VPN han ayudado mucho a que crezca el trabajo a distancia, ya que los
trabajadores pueden conectarse a la LAN de su empresa sin necesidad de estar
ubicados geográficamente en las instalaciones, con el beneficio de acceder a los
recursos que requieren para desempeñar sus labores.
174
6.5. Seguridad nivel red
La capa de red tiene entre sus funciones el enrutamiento de los paquetes entre
redes y el esquema de direccionamiento que utilizan es el IP, que es el que
“entienden” los ruteadores; es justo que estos equipos son una de las mejores
herramientas para proporcionar seguridad en esta capa, ya que mediante su
adecuada configuración se pueden crear listas de control de acceso (ACL, por sus
siglas en inglés, Address Control List o listas de control de acceso) que permiten o
deniegan el paso de los paquetes, pudiendo filtrarlos por su dirección IP, la dirección
de red o protocolos, entre otros; creando un firewall físico que muchas veces es más
efectivo que uno configurado por software.
Elaboración con base en: CISCO. (s/f). Cisco 831 -24x integrated services router.
Por supuesto que el administrador de un ruteador debe tener cuidado de configurar
contraseñas fuertes y seguras para poder realizar la administración en sitio o de
forma remota a través de conexiones cifradas.
Los ruteadores seleccionan la mejor ruta a un destino utilizando protocolos de
encaminamiento, como RIP u OSPF, entre otros, pero cada uno de ellos tiene
ventajas y desventajas para interactuar con otros ruteadores, ya que, como
sabemos, en una WAN no se tiene control de todos los dispositivos, menos de los
equipos que usan los paquetes en la ruta a su destino, por lo que debe cuidarse de
que caigan en ruteadores apócrifos, cuyo fin sea solamente leer los paquetes que
lleguen a ellos. Por esta razón y porque el protocolo IPv4 no incluye mecanismos
175
de seguridad que de forma nativa protejan las comunicaciones, se debe considerar
cifrar todos los paquetes de la red y utilizar Redes Virtuales Privadas en alguno de
dos modos de implementación:
Modo de transporte, donde los extremos de la comunicación se encargan de
su protección cifrando sólo el contenido del paquete.
Modo túnel, donde cada paquete IP se cifra y encapsula dentro de otro, por
lo que sirve a la conexión segura entre redes.
En lo que debe tenerse cuidado es en el ataque conocido como IP spoofing, que es
un uso mal intencionado de hacerse pasar por otro equipo pretendiendo tener su
dirección IP; podemos reducir su peligrosidad al considerar procesos de
autenticación en la capa de aplicación y cifrando los datos.
También se puede considerar que nuestro ISP puede tener adicionalmente un
esquema de seguridad en su esquema de filtrado y en el servidor de nombres de
dominio.
176
Seguridad nivel transporte
En la capa de transporte se tienen los datos enviados por la capa de aplicación y se
fraccionan en segmentos que luego pasarán a la capa de red. En esta capa no
tenemos un direccionamiento como el físico de la capa física o el lógico de la capa
de red, pero sí el uso de dos protocolos importantes que trabajan con servicios
específicos y números de puerto: TCP (por sus siglas en inglés Transmission
Control Protocol) y UDP (por sus siglas en inglés User Datagram Protocol).
TCP UDP
Servicio orientado a conexión. Servicio sin conexión.
Establece una sesión entre los
hosts.
No establece una sesión entre los
hosts.
Garantiza la entrega secuenciando
los datos y utilizando
confirmaciones.
No garantiza la entrega de los
datos ni los secuencia.
Es lento, al solicitar confirmaciones
si no tiene todas, hace reenvíos.
Es rápido, no requiere
confirmaciones de entrega ni hace
reenvíos.
Tabla 6.1. Transmission Control Protocol (TCP) y User Datagram Protocol (UDP).
La seguridad de esta capa se aboca al cifrado de los datos, la autenticación de
quienes intervienen en la comunicación, la integridad de los datos y la evasión de
ataques de reinyección o replay, en los que se copian los datos de una transmisión
de datos válida con el objetivo de hacerse pasar por el emisor o el receptor.
La mayoría de los servicios que utilizamos en Internet de manera diaria son TCP,
considerar algunos ejemplos de ataques sería dejar muchos fuera, por lo que se
debe tomar en cuenta que lo mejor es utilizar protocolos mejorados como SSH, TLS
o SSL que cifran los datos y mejoran la integridad de los datos.
177
6.7. Protocolos seguridad nivel aplicación
La capa de aplicación maneja la sesión y las aplicaciones que se ejecutan en el
equipo; las medidas de seguridad implementadas deberán controlar la forma en que
interactúan los usuarios con sus aplicaciones; para esto se deben configurar valores
de seguridad para cada una de las aplicaciones que se utilicen, ya que son
vulnerables ante usuarios mal intencionados que intenten acceder a los sistemas
desde la red.
Podemos ayudarnos de Sistemas de Detección de Intrusiones (IDS por sus siglas
en inglés de Intrusion Detection System), que “escucha” el tráfico de la red pudiendo
detectar actividades poco regulares o sospechosas, así como comportamientos
peligrosos que, en cierto punto, podrían activar alertas a los administradores.
Las medidas de seguridad que decida utilizar deberán incluir los riesgos del lado del
servidor y del lado del cliente.
Algo que también debe considerarse es la capacitación de los usuarios para que
conozcan las políticas de seguridad que tiene la empresa, puesto que no solamente
se debe dejar la seguridad en la parte física o la lógica, sino que el factor humano
es igualmente importante.
178
6.7.1. Transacciones electrónicas seguras (SET)
SET (por sus siglas en inglés Secure Electronic Transactions) es un protocolo que
se desarrolló por Visa, Mastercard, IBM, Microsoft, VeriSign entre otros, para
gestionar pagos seguros a través de tarjeta de crédito por medios electrónicos.
Cada clave pública está asociada a un certificado de autenticidad emitido por una
autoridad de certificación, la cual, por supuesto, tiene un costo. Este protocolo
permite establecer los siguientes controles:
Autenticación: todas los involucrados en una transacción pueden
verificar su identidad a través de certificados digitales.
Confidencialidad: La información que se envía en cualquier dirección se
cifra.
Integridad: Se garantiza que la información transmitida no será alterada
sin que sea detectada.
Privacidad: Las entidades bancarias no tienen acceso a la información
de los pedidos que realizan sus clientes.
Verificación inmediata: Antes de que se concrete la compra, el
vendedor dispone de información acerca del crédito que tiene el cliente,
así como confirmación de su identidad.
No repudio: Se incorpora el estándar de certificados digitales que
asocian las identidades de los involucrados en la transacción con las
entidades financieras, bancarias y los sistemas de pago como
MasterCard y Visa, entre otros.
Fuente: Mastercard and Visa (1997). External Interface Guide to SET Secure Electronic Transaction (PDF). Recuperado el 19 de septiembre de 2019 de
http://www.maithean.com/docs/set_eig.pdf
179
SET no es un protocolo sencillo de implementar, ya que tanto la entidad bancaria
como el vendedor requieren de un software específico, por lo que su uso no fue muy
extendido y a partir del año 2000 comenzó a reemplazarse por 3D secure.
6.7.2. Secure Hypertext Transfer Protocol (S-HTTP/HTTPS)
S-HTTP (HTTP seguro) es una extensión del Protocolo de transferencia de
hipertexto (HTTP) que permite el intercambio seguro de archivos en la web. Cada
archivo S-HTTP utiliza RSA o certificados digitales; lo cual protege la integridad de
los datos y su autenticación.
Los datos solicitados a través de HTTP viajan desde el servidor al cliente en texto
plano, y quedan muy desprotegidos ante ataques de hombre en el medio (MIM por
sus siglas en inglés de Man in the Middle) que puede ver el contenido de los
paquetes tal como fueron enviados; a diferencia de los datos que se transmiten a
través de HTTPS, que viajan cifrados y aunque se intercepten no pueden leerse.
Inicialmente las conexiones HTTPS utilizaban el protocolo de seguridad SSL
(Secure Socket Layer) para proteger las conexiones de clientes que realizaban
transacciones financieras, pero se ha sustituido por TLS, (Transport Layer Security),
que aporta mayor seguridad y privacidad en las conexiones.
How is HTTPS different from HTTP? How does both work?.
180
6.7.3. Secure Remote Procedure Call (S-RPC)
El RPC (de sus siglas en inglés Remote Procedure Call o llamada a Procedimiento
Remoto) es un protocolo que permite a una aplicación ejecutar código, ya sea una
subrutina o proceso en un equipo remoto, sin que el desarrollador deba preocuparse
de los detalles de esta interacción remota.
Un RPC para trabajar de forma segura requiere tener una ruta de comunicación
cifrada, autenticar la identidad de quien le realiza una solicitud y verificar que quien
le hace la solicitud tiene los permisos para esa llamada, para otorgarle la
autorización. Algunos sistemas RPC no hacen esto y, por lo tanto, no son seguros.
Los RPC seguros se dividen en dos modelos: capacidades y listas de control de
acceso (ACL). La seguridad basada en las capacidades tiene el inconveniente de
que éstas son fáciles de copiar, por lo que no es sencillo mantener políticas de
seguridad complejas; y la seguridad basada en ACL es que se consideran difíciles
de configurar de forma adecuada, sobre todo con políticas de seguridad que
involucran distintas variables.
Con el concepto de código no confiable que se ejecuta en un sistema confiable, se
puede indicar que, si el código desea realizar una llamada a un procedimiento
remoto seguro, el servidor RPC debe poder diferenciar entre un RPC seguro
originado en el servidor de confianza y un RPC seguro originado en el agente no
confiable.
181
6.8. Ataques de redes y medidas preventivas
Los ataques en las redes han ido en aumento, debido a que la arquitectura de las
comunicaciones ha cambiado mucho y la mayoría de los sistemas trabajan en red.
La información crítica de los usuarios, las transacciones financieras, los historiales
médicos, los hábitos de consumo pasan por lo general por redes que son
constantemente acechadas por delincuentes dispuestos a robar esa información
para obtener un beneficio particular.
Las empresas deben contemplar políticas de uso seguro de la red, incluyendo
medidas para prevenir, terminar y solucionar ataques; aunque desafortunadamente,
en cuanto a la seguridad, no se toman las precauciones necesarias y menos las
preventivas, sino que se limitan a resolver problemas.
Si se diseñan medidas preventivas eficaces, las empresas podrían tener una
operación sin cortes y no tener que asumir pérdidas de datos ni de dinero, ya sea
por lo que implique lo que se haya perdido en el ataque o por la mitigación del
mismo.
Veamos, de acuerdo con varios autores, pero principalmente Álvaro Gómez en su
libro Enciclopedia de la seguridad informática, algunas descripciones mencionadas
en el capítulo 6 de quienes perpetran los ataques y los tipos de ataque que realizan.
182
6.8.1. Suplantación (ARP)
La suplantación (o en inglés spoofing), son diversas técnicas que se utilizan para
suplantar la identidad, principalmente con fines maliciosos, pero también se utiliza
en el hacking ético.
Entre los diferentes tipos de suplantación, ARP spoofing suplanta la identidad
mediante la falsificación de la tabla ARP, modificando en ella la relación de la
dirección IP con la dirección MAC del equipo a suplantar, pudiendo hacer que
paquetes que se envíen, le lleguen al equipo del atacante en lugar de hacerlo a su
destinatario original.
Para prevenir estos ataques se puede realizar un filtrado de paquetes,
inspeccionando los paquetes que viajan por la red; utilizar protocolos de red que
realicen cifrado, como HTTPS, SSH, TLS; también hay aplicaciones para la
detección de ARP spoofing, que inspeccionan y certifican los datos antes de
transmitirlos.
.
Arpfox: Herramienta para hacer ataques ARP Spoofing escrita en lenguaje Go
183
6.8.2. Fuerza bruta
Un ataque de fuerza bruta es una técnica básica para robar una contraseña,
haciendo pruebas con todas las combinaciones posibles de caracteres hasta dar
con el correcto para cada posición. Están disponibles programas que realizan de
forma automática estas pruebas, por lo que es muy utilizado. Ante esto, algunos
administradores de sitios web integran los captchas, para identificar si es una
persona la que intenta acceder al servicio o bien es una aplicación tratando de robar
una contraseña o hacer un uso inadecuado de la página; incluso hay algunos sitios
en donde se bloquea el acceso si nos equivocamos muchas veces al escribir la
contraseña, ya que esa acción puede ser alguien tratando de adivinarla o algún
programa haciendo combinaciones.
La mejor medida para prevenir estos ataques es generar contraseñas seguras, entre
mayor longitud mejor, ya que estos programas tardan más entre más caracteres
contenga la contraseña; y por supuesto que lo que definamos como contraseña no
esté en un diccionario ni sea fácilmente adivinado por terceros.
184
6.8.3. Gusanos
Un gusano es un software malicioso que, a diferencia de un virus, no altera los
archivos de programas, pero reside en la memoria, se duplica a sí mismo y explotan
agujeros de seguridad en el sistema operativo y las aplicaciones instaladas en el
equipo infectado.
Los gusanos siempre dañan la red, aunque sea bajando el rendimiento del ancho
de banda o replicándose en ellas, en cambio los virus siempre infectan o corrompen
los archivos de un equipo.
Algunas de las formas de propagarse son:
En archivos adjuntos enviados por correo electrónico.
En enlaces o archivos adjuntos en un servicio de mensajería.
A través de redes peer-to-peer (por sus siglas en inglés P2P).
Paquetes de red que se introducen en un equipo para activar el código del
gusano.
Gusanos informáticos.
185
Para prevenir un ataque con gusanos, es necesario instalar un software antimalware
y antivirus en los equipos (computadoras, servidores, tabletas y smartphones son
susceptibles de infección), así como actualizar frecuentemente el sistema operativo.
6.8.4. Saturación (Flooding)
La inundación o su traducción del inglés flooding, es un ataque de denegación de
servicio (por sus siglas en inglés DoS o Denial of Service) que inunda de una gran
cantidad de peticiones o de tráfico a la red o al servidor que ataca.
Cuando se inunda un servidor con conexiones que no se pueden completar, el
ataque va gradualmente llenando su búfer de memoria; cuando rebasa su límite, ya
no puede realizar más conexiones y el resultado es una denegación de servicio. Es
un ataque relativamente sencillo, por lo que hay atacantes que sin necesidad de
muchos conocimientos pueden llegar a causar daño a los servidores atacados.
Tal vez al revisar la información acerca de los ataques DoS encuentres el tipo de
ataque DDoS, que es un ataque de denegación de servicio distribuido; la diferencia
es que un ataque DoS se hace desde una sola dirección IP y el DDoS se realiza por
lo general desde varios equipos con direcciones IP distintas, usando una botnet o
"red zombi", que son equipos infectados con un malware y que realizan el ataque
bajo el control de un delincuente informático, muchas veces sin saber que son parte
de una botnet.
Por supuesto, detener un ataque DoS es más sencillo que hacerlo con uno DDoS,
ya que, en el primero, por lo general, se puede bloquear la dirección IP de donde
proviene el ataque, pero en uno DDoS son demasiadas direcciones las que atacan
y eso puede llevar a que el servicio deje de funcionar en un tiempo más corto.
186
Qué es un ataque DDoS y cómo puede afectarte
6.8.5. Eavesdropping
Eavesdropping es una intercepción pasiva del tráfico de red, lo que quiere decir que
los paquetes se leen, pero no se modifican. Haciendo una analogía, es como
escuchar una llamada telefónica, sin intervenir en algún momento y como resultado
se conoce lo hablado en esa conversación.
Este tipo de ataque en la red se realiza con packet sniffers, que son programas que
monitorizan y "escuchan" los paquetes que circulan por la red, ya sea en texto plano
o cifrados, aunque por supuesto lo que va cifrado con un algoritmo fuerte no será
leído.
Como solución a este ataque se puede hacer una monitorización de la red utilizando
herramientas que analicen el tráfico, pero al ser un ataque, no solo daña el
contenido del mensaje, sino que es difícil de detectar; por lo que la mejor estrategia
187
es que toda la información viaje cifrada, usar firewalls personales en las
computadoras personales, tener siempre el antivirus actualizado y de preferencia
utilizar redes privadas virtuales (VPN). Como regla de seguridad, se debe evitar
utilizar redes públicas, sobre todo si se realizarán transacciones de dinero, ya sea
compras o pagos.
6.8.6. Sniffers
Un sniffer es una aplicación especial para redes informáticas, que permite capturar
los paquetes que viajan por una red. En un inicio, los sniffers eran herramientas
útiles para los administradores de red, pero al conocer su potencial, algunos
delincuentes informáticos los comenzaron a utilizar para leer lo que viaja por la red,
como contraseñas, números de tarjetas de crédito, direcciones de correo e
información sin cifrar, incluso si revisan periódicamente el tráfico, pueden conocer
la relación de una empresa con sus clientes, proveedores y otras empresas; lo cual
se considera espionaje dado que es información confidencial.
Los sniffers son difíciles de detectar, pero se pueden seguir las recomendaciones
precautorias de eavesdropping para evitar que la información sea leída cuando viaje
por la red.
6.8.7. Spamming
Se conoce como spamming al envío masivo de correos electrónicos denominados,
que, por lo general, son correos no solicitados, como el correo publicitario y el de
remitentes desconocidos.
Es muy utilizado por algunas empresas debido a que en general no tiene un costo
de operación representativo, salvo por la gestión de la lista de correo que manejan
188
y que van actualizando, ya que es frecuente que esos correos se envíen de forma
masiva.
Para evitar el spam es una buena práctica manejar dos cuentas de correo, uno
personal que se utilizaría para intercambiarlo con familiares y amigos, y otro para
suscripciones a foros, boletines y otros servicios. Es recomendable que la dirección
personal no sea sencilla de adivinar, ya que existen algunos programas que prueban
en servidores de correo algunas cuentas que pueden generarse con un diccionario
o bien con palabras frecuentes en las direcciones de correo.
La buena noticia es que ahora existe software anti-spam muy efectivo, los
programas administradores de correo también detectan fácilmente el spam y lo
mandan directo a una carpeta en donde el usuario puede verificar que se trata de
spam o bien marcar la dirección como conocida.
189
6.8.8. Fraude y abuso en PBX
Este ataque es una intrusión dentro del sistema telefónico por un usuario no
autorizado, muchas veces con la finalidad de poder realizar llamadas
internacionales sin tener que pagar el costo de forma propia, pero poniendo el costo
en terceras personas, por lo general a una empresa que, entre sus usuarios, puede
perderse el control de quién realizó las llamadas.
Esto obviamente genera a las empresas cargos que pueden ser desde pequeños,
pero frecuentes, hasta cargos realmente costosos, aunque sea por pocas llamadas.
Para poder prevenir este tipo de fraudes es importante que el responsable de
telefonía de la empresa trabaje con su proveedor de PBX para configurar filtros y
claves para los diferentes usuarios que pueden realizar llamadas que impliquen
costos significativos de telefonía.
Este tipo de ataques ya son poco realizados ante las ventajas que tiene la telefonía
IP y las videollamadas.
6.8.9. Spoofing
El spoofing, o ataque de suplantación de identidad, es cuando un pirata informático
o individuo malintencionado se hace pasar por otro usuario o dispositivo en una red,
engañando a los usuarios o sistemas para que crean que se están comunicando o
interactuando con otra persona o sitio web.
El objetivo del spoofing es que un delincuente informático pueda obtener acceso (no
autorizado) a equipos o sistemas, propagar virus o malware, robar información
confidencial, entre otros.
Existen distintos tipos de spoofing, como ARP spoofing, IP spoofing, Web spoofing,
e-mail spoofing y DNS spoofing.
190
ARP spoofing suplanta las tramas ARP, suplantando la identidad a nivel de enlace,
con las direcciones físicas, de forma que en una red local se puede forzar a un
equipo atacado a que envíe paquetes a un host del atacante en lugar de al destino
legítimo; los efectos de esta acción pueden ser muy destructivos, ya sea que sólo
se intercepten los datos o bien se lleguen a alterar los mismos sin el conocimiento
de ninguno de los que entablaron la comunicación. Este ataque es difícil de detectar
y abre la puerta a otro tipo de ataques como Man in the Middle.
Una forma de solucionar este tipo de ataques es utilizar rutas estáticas para la caché
ARP, así como asociar las direcciones MAC a las IP.
IP spoofing es de los ataques más comunes en la suplantación y también se le
conoce como enmascaramiento de la IP; consiste en modificar la cabecera de los
paquetes enviados sustituyendo la dirección IP origen legítima por otra dirección IP
que se desee suplantar, dando como resultado que el host que reciba los paquetes
alterados responderá a la dirección IP modificada.
Web spoofing es un ataque donde se suplanta un sitio legítimo por uno falso, con la
finalidad de hacer del conocimiento público que el sitio fue atacado (motivos
políticos o sociales) o bien conseguir datos que proporcionen los usuarios
(contraseñas, sitios visitados, datos ingresados en formularios, entre otros). La
página apócrifa tiene el comportamiento de un proxy, realizando solicitudes de la
víctima al servidor, evitando la protección SSL. El phishing se deriva del web
spoofing.
Este ataque es difícil de detectar, pero hay algunos plugins que instalan en el
navegador, donde muestran la dirección IP del servidor visitado, y si cambia es
probable que ese sitio esté bajo ataque.
E-mail spoofing suplanta una dirección de correo electrónico haciéndose pasar por
otra persona ante el receptor del correo electrónico. Puede utilizarse para el
191
phishing o spam. Como el delincuente informático puede utilizar cuentas legítimas
y hacerse pasar por una de ellas para cometer el fraude, es una buena práctica que
se revise si el emisor del correo realmente proviene del servidor que se indica en la
cuenta, para realizarlo se debe activar la verificación SPF (Sender Policy
Framework), así el dominio autoriza a un servidor el envío de correo electrónico, y
si alguien envía un correo desde un servidor diferente al que autorizamos, lo
almacenará en la carpeta de spam o no lo entregará.
How to prevent internal email spoofing in an Exchange organization.
DNS spoofing consiste en una falsificación que se realiza gracias a una traducción
errónea de un nombre de dominio a una dirección IP, facilitando de ese modo el
redireccionamiento de un usuario a un sistema apócrifo.
Al utilizar DNSSEC (DNS Security Extensions) se agrega una capa de seguridad,
ya que previene el envenenamiento de caché DNS entre el local y los servidores de
nombres autorizados, añadiendo firmas digitales en cada una de las partes
implicadas: dominio, servidor DNS y Registry, dando como resultado que, si las
firmas no coinciden, el sitio web se presenta como inaccesible.
192
Ataques al DNS: cómo intentan dirigirte a páginas falsas
6.8.10. Flooding
En el punto 6.8.4 se describe el flooding. Veamos algunos ejemplos de algunos
ataques de saturación (flooding):
1. UDP Flood (saturación UDP)
Es un ataque DDoS que utiliza UDP, inundando puertos aleatorios con una
gran cantidad de paquetes UDP, lo cual termina agotando los recursos del
equipo.
2 ICMP Flood (saturación por ping)
Tiene una forma de operación similar al ataque de inundación UDP, pero en
este caso se inunda con solicitudes de paquetes ICMP (protocolo que utiliza
el ping), consumiendo ancho de banda tanto de entrada como de salida, ya
193
que el equipo atacado intentará responder cada petición, dando como
resultado una baja en el rendimiento del sistema hasta lograr la caída del
servicio. Para detenerlos, se pueden configurar listas de control de acceso
(ACL) en ruteadores y switches configurables.
3 Service Port Flood (ataque sobre puertos de servicio)
Así como los ataques UDP eligen puertos aleatoriamente, los que se dirigen
a los puertos de servicio dirigen peticiones a puertos estándar en los que se
sabe que se genera mayor tráfico. Por ejemplo, en servidores web podrían
atacar el puerto 80, afectando el tráfico tanto de entrada como de salida. La
prevención ante estos ataques, es más complejo, por lo que deben utilizarse
distintas herramientas, para mitigar o detener los ataques analizando el
tráfico.
4 4.MAC flood (ataque de inundación de MAC)
En este ataque se satura la tabla CAM (por sus siglas en inglés Content
Addressable Memory o Memoria de Contenido Direccionable) de un switch
con muchas direcciones MAC que se generan de forma aleatoria por alguna
herramienta que expresamente realice esa tarea. Ya que esta tabla sólo
puede almacenar una cantidad de información (varía en los equipos, pero es
finita), cuando un ataque de este tipo actúa, satura la tabla generando que
las tramas que van de un PC a otra PC como un unicast, se transmiten por
todos los puertos, haya o no configuradas VLAN. Esto le permite a un
delincuente informático que utilice un sniffer, capturar el tráfico que circula
por el switch.
Para completar este tema, busca un video titulado “Hacking a redes LAN: Clase 2 -
MAC Flooding Attack”.
194
6.9. Monitores de redes y analizadores de paquetes
La red de una empresa es un elemento muy importante para que funcionen sus
operaciones, incluso hay algunas en las que, si la red deja de funcionar, esto puede
provocarle problemas con sus clientes y pérdidas económicas.
Los sistemas de monitorización de redes pueden hacer una diferencia grande para
las empresas, ya que su principal función es asegurar que la red esté operando
prácticamente 100% del tiempo, y, en caso contrario, se podrán activar alarmas que
le serán enviadas al administrador, con la finalidad de que pueda detectar los
problemas que se presentan antes de que se produzca una caída del servicio.
Los monitores de red tienen como función monitorizar el tráfico entre todo tipo de
dispositivos que trabajen en la red, como equipos de cómputo, servidores,
impresoras, switches, ruteadores, entre otros.
La monitorización de una red permite al administrador analizarla y conocer estado
del funcionamiento de su red en un primer nivel, y le permitirá llevar adecuadamente
la gestión de la red, es decir, analizar la problemática y ejecutar acciones para
mitigar o eliminar los problemas.
195
Frameworks para monitoreo, forense y auditoría de tráfico de red – I.
Como se menciona acerca de los analizadores de paquetes (sniffers), nos ayudan
a capturar paquetes y analizarlos. Al analizarlos, los administradores de los servicios
pueden detectar problemas, por ejemplo, que los datos viajen sin cifrado, que se
utilicen protocolos no seguros, medición del tráfico en la red en puntos que pueden
generar más tráfico, e incluso para los desarrolladores les es útil para analizar la
información que transiten las aplicaciones por la red.
Hay algunos sniffers que se pueden utilizar en la capacitación de equipos de
seguridad de la empresa, para concientizarlos de la importancia de hacer la revisión
de lo que pasa por la red, y de asegurar que entienden la información que se
transmite en los paquetes.
Tanto el software de monitorización de red como los analizadores de paquetes son
evidentemente útiles para las empresas, pero también lo son para redes más
pequeñas, por ejemplo, las domésticas, ya que podemos darnos cuenta de la misma
información y poner las barreras necesarias para proteger nuestra información. Una
196
aplicación con la que se puede comenzar a realizar monitorización de redes se llama
Wireshark (https://www.wireshark.org/), que es un analizador de tráfico de la red
gratuito y multiplataforma.
Para utilizarlo, se deben tener conocimientos básicos de redes, como lo que son los
protocolos (TCP, UDP, IP, ICMP, etcétera), cómo funcionan los puertos, cómo se
realiza el enrutamiento de paquetes, entre otros.
La herramienta intercepta el tráfico y permite de forma sencilla identificar al tráfico
que viaja por la red y sus variables, como la latencia o frecuencia. Al monitorizar
constantemente el tráfico, el administrador aprende a conocerlo e identificar cuándo
hay comportamientos inusuales.
Para completar este tema se sugiere busques un video que se titula:
“Como usar Wireshark para capturar, filtrar y analizar paquetes” que explica paso a
paso cómo instalar y utilizar la aplicación para hacer la monitorización de tráfico con
esta aplicación.
197
6.10. Comunicaciones de voz seguras
Así como se dan ataques a PBX, ahora los delincuentes informáticos pueden tomar
los flujos de audio de la telefonía por internet y hacer escuchas de las llamadas, lo
que se da principalmente en las empresas que manejan información confidencial,
política, financiera o activos de riesgo para sus clientes. Para los delincuentes el
interceptar esa información los llevaría a otras acciones, como extorsiones, robo de
identidad o fraudes, comprometiendo a las empresas y sus clientes.
Aunque en la mayoría de las empresas la principal preocupación cuando utilizan
llamadas por internet, es la calidad del audio y la interoperabilidad, también deben
tomar muy en cuenta la seguridad, ya que, como un efecto normal, al utilizar la
telefonía la red, heredará sus debilidades.
Ahora bien, las ventajas son claras, ya que a la larga se tiene un menor costo, hay
servicios de valor añadido como en las aplicaciones de televigilancia o
teleasistencia, movilidad y una mejor gestión.
198
6.11. Seguridad e-mail
Los usuarios que comúnmente utilizan internet, tienen una cuenta de correo
electrónico, por lo que es un servicio altamente utilizado, y, por tanto, un servicio
que sufre de varios ataques, con el problema de que no tiene integrado un
mecanismo que garantice que un correo electrónico sólo podrá ser leído por el
destinatario.
Los ataques que pueden realizarse por este medio son:
Ejecución de archivos ejecutables enviados por correo.
Inserción de código malicioso en el cuerpo del mensaje.
Intercepción de mensajes.
Usurpación de remitente (spoofing).
Spam
Muchas aplicaciones que administran el correo ya tienen protección contra estos
problemas. Lo que también puede ayudar a resolver algunos problemas de
intercepción es el cifrado, que protege la privacidad de las personas con las que se
establece la comunicación, la otra es el uso de programas seguros como PGP (por
sus siglas en inglés Pretty Good Privacy), que es un programa que ayuda a proteger
la privacidad del correo y al mismo tiempo revisa su autenticidad.
Desafortunadamente, así como avanza la protección, van descubriéndose
vulnerabilidades, y en mayo de 2018 se indicó que PGP ya es vulnerable a una serie
de ataques, y que puede revelar el contenido de los mensajes.
199
6.12. Seguridad en comunicación instantánea (e.g. MSN, GTalk)
Así como rápidamente se incorporan mejoras a las aplicaciones, con la misma
velocidad se van descubriendo nuevas vulnerabilidades, sobre todo en sistemas
que van de salida del mercado, como versiones anteriores de sistemas operativos
o de las mismas aplicaciones. Esta es una de las razones por la que es
recomendable estar al pendiente de cuando nuestro equipo ya no soporta nuevas
versiones del sistema operativo, que es una de las razones por las que sería
conveniente actualizarlo a uno más reciente.
Esta situación aplica también a las aplicaciones de mensajería instantánea, sobre
todo porque tienen acceso a todo lo que guardamos en nuestro smartphone:
contactos, fotos, correos, videos, notas, mensajes, historial de navegación,
aplicaciones instaladas, movimientos financieros, y el largo de la lista depende de
cada usuario, la capacidad de su equipo y el uso que le dé. ¿Qué pasaría si alguien
no autorizado tiene la oportunidad de leer estos datos? Además, si alguien tiene
acceso a ver esa información, es posible que también pueda modificarla, publicarla
o borrarla.
En cuanto al uso de las aplicaciones de mensajería, es necesario considerar no
solamente cuáles aplicaciones son más seguras, las vulnerabilidades que se les
van descubriendo, así como la cantidad de nuestros contactos que las usan, porque
si utilizamos una muy segura y al final no la tienen instalada nuestros contactos, no
sirve para establecer comunicación con ellos.
Hay aplicaciones que son más utilizadas en diferentes países, por ejemplo, en
Estados Unidos y Canadá se utiliza mayormente el Facebook Messenger, mientras
que en México y el resto de América Latina, se utiliza Whatsapp Messinger.
200
El mapa de los servicios de mensajería instantánea.
Al ser aplicaciones que se usan sobre la red, comparten sus debilidades y sus
ataques, pero con un peligro adicional al utilizarse en un equipo móvil con el que
tenemos mucha interacción e información almacenada. Como buenas prácticas se
considera mantener actualizado el sistema operativo, configurar en un nivel alto las
opciones de seguridad de la aplicación, no darle demasiados permisos a la
aplicación (restringir el acceso a archivos, uso de cámara, por ejemplo), no
descargar todo lo que nos envían a través de la aplicación y no hacer clic en las
ligas que nos envíen.
201
RESUMEN
Pareciera que en el uso de las redes todos los días aparecen nuevos desafíos de
seguridad: cuando ya se ha atendido una vulnerabilidad aparece otra o se buscan
nuevas debilidades en las actualizaciones. Esta información se difunde
constantemente y tiene un impacto en la confianza que tienen los usuarios; por
ejemplo, en el comercio electrónico se han tenido que emplear algunas estrategias
para que la gente tenga confianza de hacer transacciones por internet, ya sea para
utilizar la banca en línea o realizar compras, y por supuesto se han trabajado
distintas iniciativas para mejorar la seguridad de las transacciones.
Los incidentes que se llegan a presentar impactan de forma directa sobre los
usuarios, ya sea robando sus datos o dinero, robando su identidad o cometiendo
fraudes en su nombre.
Definitivamente hay muchas vulnerabilidades que atacar, pero también se debe
capacitar y concientizar a empresas, usuarios, desarrolladores y administradores en
relación a la seguridad, porque, desafortunadamente para muchos de ellos, es un
campo desconocido, y por eso no se pueden tomar medidas efectivas que lleven a
un uso más efectivo y seguro tanto de la red como de las aplicaciones.
Hay una serie de buenas prácticas que pueden adoptarse, reduciendo
notablemente la probabilidad de que se reporte una incidencia de seguridad.
También debemos recordar que nada es 100% seguro, por lo que siempre
podremos estar a la expectativa de que nuestros esfuerzos por elevar la seguridad
pueden mejorarse o actualizarse, lo que lleva a que la seguridad es un proceso
continuo en el que estaremos aprendiendo de las propias experiencias y de lo que
vayamos leyendo respecto al tema.
202
Las organizaciones deben considerar a la seguridad como un proceso en donde
intervienen todas sus áreas, porque en efecto así es: intervienen equipos de
cómputo, de telecomunicaciones, usuarios, las diferentes capas que intervienen en
el proceso de comunicación y una larga lista de variables.
Las constantes amenazas hacen necesario que tanto las empresas como los
usuarios presten atención a lo que utilizan en particular y lo aseguren de la forma
más redundante posible, mitigando la posibilidad de un ataque o bien levantando la
mayor cantidad de barreras que impida la pérdida de sus activos.
La capacitación es sumamente necesaria dado que los ataques que tienen mayor
probabilidad de éxito se hacen con los usuarios, ya sea por desconocimiento o
porque tienen acceso a los sistemas de una empresa (ataques internos).
203
BIBLIOGRAFÍA DE LA UNIDAD
Bibliografía sugerida
Autor Capítulo Páginas
Marco, María; Marco Josep
8. Las redes de comunicaciones y la seguridad
87 a 93
Corrales, Alberto; Beltrán Marta; Guzmán, Antonio.
1.3 Ataques 18 a 20
Corrales, Alberto; Beltrán Marta; Guzmán, Antonio.
2.1 Ataques físicos 31 a 64
204
UNIDAD 7
SEGURIDAD DE APLICACIONES
205
OBJETIVO PARTICULAR
Al finalizar la unidad, el alumno conocerá las herramientas y la metodología para
asegurar el buen funcionamiento de las aplicaciones que corren en un ambiente
de producción.
TEMARIO DETALLADO
(12 horas)
7. Seguridad de aplicaciones
7.1. Seguridad en sistemas operativos
7.1.1. Unix
7.1.2. MS Windows
7.2. Seguridad en bases de datos
7.3. Seguridad en el desarrollo de aplicaciones
206
INTRODUCCIÓN
Cuando hablamos de software, sabemos que este concepto es un conjunto de
aplicaciones, datos, políticas, documentación y procedimientos que forman parte de
un sistema de cómputo.
Muchas personas están acostumbradas a ver el sistema operativo como algo que
no es software, pero es parte de ese concepto, sólo que está enfocado al manejo
del sistema, sirviendo como traductor y controlador de las operaciones que desea
realizar un usuario con los componentes del equipo que está utilizando.
El sistema operativo es software de sistema o software de base, y hay otro software
de sistema llamado firmware, que se almacena en una memoria como la que
ofrecen algunos circuitos integrados, y ambos son actualizables.
El software de aplicación por lo general nos ayuda a realizar una tarea específica,
que pueden servir para negocios, para mejorar el rendimiento del equipo, como
entretenimiento, cálculos, dibujo, entre otras.
En cualquiera de los casos, el software debe realizarlo un equipo de desarrollo que
debe tomar en cuenta la seguridad desde el nacimiento de la idea, y que estará
realizando pruebas a través de cada una de las fases del ciclo de desarrollo, y no
esperar hasta el final; esta buena práctica permite detectar errores y
vulnerabilidades en etapas tempranas, lo cual ahorra tiempo, esfuerzo del equipo,
y muy importante: reduce el costo final con mejores resultados.
207
7.1. Seguridad en sistemas operativos
El sistema operativo es un software muy importante en todos los dispositivos, ya
que es el encargado de funcionar como interfaz entre el hardware y el usuario. Dado
que no "hablan" el mismo idioma ambos, traduce las peticiones del usuario para que
el equipo le asigne los recursos necesarios para que realice las tareas que le solicita
el usuario. Adicionalmente administra todos los dispositivos de entrada y salida del
equipo, los recursos con los que cuenta como memorias, disco duro, conexión a la
red, entre otros.
Cada versión de sistema operativo, ya sea de equipos de escritorio o móviles, tiene
frecuentes actualizaciones periódicas debido a que se revisan continuamente
vulnerabilidades, fallas reportadas y se van agregando algunas funciones
adicionales; las fallas se corrigen, se blindan las vulnerabilidades y se agregan
funciones en una versión más actual. Hay veces que también podemos reconocer
esas actualizaciones con algo conocido usualmente como un "parche" del sistema
operativo, que generalmente sólo atiende a las fallas reportadas en el sistema.
Los usuarios debemos estar atentos a esas actualizaciones e instalarlas de forma
segura, lo que significa que a veces las últimas versiones pueden llegar a salir con
algún defecto, por lo que es una buena práctica revisar comentarios de revistas
especializadas o comunidades que hagan esas actualizaciones y aporten datos de
la estabilidad y operación de esa versión.
Si pasa tiempo y no se hacen las actualizaciones, corremos el riesgo de que el
sistema operativo sea vulnerable antes alguna falla detectada con anterioridad, que
pueda servir como antesala de un ataque a las versiones anteriores.
208
7.1.1. Unix
Unix nació en los laboratorios Bell en los años 70, bajo la programación de Dennis
Ritchie y Ken Thompson. Inicialmente lo desarrollaron en lenguaje ensamblador, lo
que tenía el inconveniente de que no lo hacía portable a otros equipos, por lo que
tuvieron que crear un lenguaje de programación nuevo al que llamaron B, y más
tarde desarrollaron su evolución, el lenguaje C que hizo a este sistema operativo
realmente portable.
Con el pasar del tiempo algunas universidades de Estados Unidos de América
realizaron algunas actualizaciones, destacando entre ellas la Universidad de
Berkeley.
AT&T lanzó su primer producto comercial de UNIX llamado System III en 1984, pero
es hasta que presenta la versión V cuando el sistema operativo es multitarea y
multiusuario, pudiendo identificar una gran cantidad de periféricos, manejando
grandes cantidades de información y contando con herramientas enfocadas a
entornos para el desarrollo de software.
Tomando como referencia inicial lo que menciona Tanenbaum en el caso de estudio
de UNIX en su libro de Sistemas operativos modernos; con la aparición de las
nuevas características se comenzó a tomar más seriamente la seguridad, por lo que
se comienza a limitar el acceso que tienen los distintos usuarios entre las cuentas
que se dan de alta en cada equipo y los recursos que comparten, restringiendo el
ingreso al sistema operativo a través de un nombre de usuario y contraseña, lo que
se conoce como el login al sistema.
Los usuarios que se dan de alta en UNIX tienen un UID (por sus siglas en inglés
User ID o ID de usuario) único, que es representado como un número entero que
fluctúa entre 0 y 65,535. Los archivos, procesos y otros recursos se marcan con el
209
UID del usuario propietario, que es quien los crea. Los usuarios pueden pertenecer
a uno o más grupos, y cada uno de ellos tiene un identificador con enteros de 16
bits conocidos como GID (por sus siglas en inglés Group ID o ID de grupo).
Cada proceso se identifica con el UID y el GID de su propietario; cuando se crea un
archivo, éste recibe el UID y GID del proceso que lo creó, aparte de una serie de
permisos, que indican el tipo de acceso que tienen el propietario, los miembros del
grupo del propietario y el resto de los usuarios.
Los permisos pueden ser de lectura, escritura y ejecución, y son identificados por
las letras r (read o lectura), w (write o escritura) y x (execute o ejecución).
Dado que hay tres categorías de usuarios (propietario, grupo, resto) y tres bits por
categoría (lectura, escritura, ejecución), se requieren nueve bits en total para
representar todos los permisos de acceso, como se muestra en los ejercicios de la
tabla 7.1.
210
BITS Permisos en UNIX Permisos que representa
111000000 r w x - - - - - - El propietario puede leer, escribir y ejecutar.
111111000 r w - r w - - - - El propietario y el grupo pueden leer y escribir.
110100000 r w - r - - - - - El propietario puede leer y escribir; el grupo puede leer.
110100100 r w - r - - r - - El propietario puede leer y escribir; el grupo y todos los demás pueden leer.
111101101 r w x r - x r – x El propietario puede hacer todo, el grupo y todos los demás pueden leer y ejecutar.
000000000 - - - - - - - - - Nadie tiene acceso (raro pero posible).
110110110 r w - r w - r w - El propietario, el grupo y todos los demás pueden leer y escribir.
Tabla 7.1. Ejemplos de algunos permisos.
Los directorios en el sistema operativo pueden verse como archivos y tienen la
misma forma de protección que éstos, con la única diferencia de que en los
directorios los bits x son el permiso de búsqueda y no de ejecución.
Por ejemplo, un directorio con permisos r w x r w - r w - permite a su propietario leer,
modificar y realizar búsquedas en el directorio, pero sólo permite al grupo y al resto
leer y escribir.
Los dispositivos de E/S (entrada / salida) están representados por archivos
especiales que cuentan con los mismos bits de protección que tienen los archivos
regulares. Por ejemplo, si somos el propietario de /dev/lp (impresora) que tiene el
modo de protección rw------, significa que únicamente el propietario puede utilizar la
impresora.
En UNIX hay pocas llamadas al sistema relacionadas con la seguridad, y la que se
utiliza más frecuentemente es a través del comando chmod, que funciona para
cambiar el modo de protección, o bien con el comando chown que permite cambiar
211
el propietario de un archivo o de un directorio. En la tabla 2 vemos algunos ejemplos
de llamadas al sistema que tienen relación con la seguridad. El código de retorno s
es -1 si ocurre un error.
Llamada al sistema Descripción
s = chmod(ruta, modo) Cambia el modo de protección de un archivo.
s = access(ruta, modo) Comprueba el acceso usando el UID y GID reales.
uid = getuid( ) Obtiene el UID real.
uid = geteuid( ) Obtiene el UID efectivo.
gid = getgid( ) Obtiene el GID real.
gid = getegid( ) Obtiene el GID efectivo
s = chown(ruta, propietario, grupo) Cambia el propietario y el grupo
s = setuid(uid) Establece el UID.
s = setgid(gid) Establece el GID.
Tabla 7.2. Llamadas al sistema relacionadas con la seguridad.
Ejemplo: El comando chmod (“/usr/prg/conf_routing”, 0755); establece los permisos
de conf_routing a rwx r-x r-x, y esto lo hacemos traduciendo cada número decimal
a binario: 7=111, 5=101, con lo que el propietario tiene todos los permisos
"prendidos" o en "1", el grupo y el resto de los usuarios pueden leerlo y ejecutarlo.
Únicamente el propietario de un archivo y el superusuario del equipo pueden
modificar los bits de protección.
Un caso especial es el UID 0 al que se le identifica como superusuario o root, que
tiene permisos de leer y escribir todos los archivos en el sistema, sin importar quién
es el propietario y los permisos que tienen asignados. También podemos encontrar
procesos con UID 0, que tienen la habilidad de realizar algunas llamadas protegidas
al sistema.
212
El administrador del sistema es al que identificamos como el superusuario, y por lo
general es una cuenta muy atacada por los delincuentes informáticos, debido a los
permisos que se tienen con esa cuenta, por lo que hay que proteger bastante la
contraseña y la conexión, si es que se efectúa una sesión remota.
Cuando un usuario inicia sesión en el sistema operativo, el programa de inicio de
sesión login pide un nombre de usuario y una contraseña, al contar con los datos
introducidos por el usuario, aplica una función hash a la contraseña (evitando que
ésta se almacene en texto plano en cualquier parte del sistema) y luego la busca en
el archivo de contraseñas /etc/passwd donde revisa si el hash coincide con la
contraseña en ese archivo. Si la contraseña es correcta, el programa revisa
nuevamente en /etc/passwd para verificar cuál es el shell seleccionado por el
usuario; si no es correcta la contraseña, el sistema le dará oportunidad al usuario
de corregirla hasta en dos intentos más, antes de bloquear el login.
Al entrar al sistema operativo, el programa de inicio de sesión utiliza setuid y setgid
para asignarse a sí mismo el UID y GID del usuario. Después abre el teclado para
la entrada estándar, la pantalla para la salida estándar y la pantalla para el error
estándar; al último ejecuta el shell seleccionado por el usuario, con el UID y GID
correctos y el sistema queda en espera de las operaciones que vaya a realizar el
usuario.
Todos los procesos que se creen a partir de la interacción del usuario con el sistema
operativo, heredarán de forma automática el UID y GID del shell y estarán asignados
al propietario y grupo correctos, al igual que todos los archivos que cree.
Debemos recordar que Unix, como cualquier otro software, debe protegerse desde
la programación, pero cualquier software puede tener brechas de seguridad cuando
se distribuye.
213
7.1.2. MS Windows
El sistema operativo Windows mayormente se ejecuta en equipos de escritorio y en
algunos servidores empresariales.
Tomando como referencia inicial lo que menciona Tanenbaum en el caso de estudio
de Windows en su libro de Sistemas operativos modernos; tenemos que el
desarrollo del sistema operativo Microsoft Windows puede dividirse en tres distintas
etapas: MS-DOS, Windows basado en MS-DOS y Windows basado en NT (por sus
siglas en inglés New Technology o Nueva Tecnología).
MS-DOS. A principios de la década de los 80’s, IBM le hizo un requerimiento de
software a Microsoft, y para poder atenderles, algunos autores indican que
compraron un clon del sistema operativo CP/M (por sus siglas en inglés Control
Program / Monitor o Programa de Control / Monitor), lo portaron a la IBM PC y le
otorgaron una licencia; a ésta versión le cambiaron el nombre a MS-DOS 1.0 (por
sus siglas en inglés MicroSoft Disk Operating System o Sistema operativo en Disco
de Microsoft).
214
Hay algunas teorías acerca de esto, como se puede leer en algunos artículos, como
en el llamado “Si demuestras que Microsoft copió CP/M para crear MS-DOS, te
llevas 200.000 dólares” (https://www.muycomputer.com/2016/08/09/ms-dos-cpm/).
MS-DOS inició como un sistema operativo de 16 bits, que se manejaba a través de
una línea de comandos por un único usuario. Para 1986 el sistema operativo había
crecido de 8 a 36 Kb, pero sin cambios relevantes en las demás características. En
cuanto a la seguridad, no se tenía contemplado en ese momento algún estándar ni
había muchas probabilidades de ataques; lo que más preocupaba era que los
códigos no fueran copiados por terceros.
Windows basado en MS-DOS. Microsoft dejó la interfaz de comandos de líneas de
MS-DOS por una interfaz gráfica de usuario, a la que llamó Windows. Microsoft
liberó Windows 3.0, que no era un sistema operativo como tal, sino un entorno
gráfico construido encima de MS-DOS, que era quien tenía realmente el control del
equipo.
Más tarde se liberó Windows 95, que ya era un sistema operativo con administración
de procesos, memoria virtual e interfaces de programación de 32 bits, pero
desafortunadamente no contemplaba una buena seguridad ni un buen manejo de
las aplicaciones, situación que continuó presentándose en las liberaciones de
Windows 98 y Windows Me.
Windows basado en NT. A inicios de la década de los 90, Microsoft visualizó que
seguir utilizando MS-DOS como componente central de sus sistemas operativos no
era una buena estrategia para su futuro. Para realizar un nuevo desarrollo
contemplando esta premisa, Microsoft tuvo un equipo liderado por Dave Cutler,
quien desarrolló un sistema operativo de 32 bits con la visión de implementar OS/2,
que Microsoft estaba desarrollando en ese momento en conjunto con la empresa
IBM. El sistema desarrollado por el equipo de Cutler fue nombrado NT por Nueva
Tecnología, el cual tuvo como características su portabilidad, su compatibilidad con
215
versiones anteriores de Windows y su desarrollo enfocado en la seguridad y
confiabilidad.
En versiones posteriores se agregó la exitosa interfaz de usuario gráfica de
Windows 95, lo que permitió a muchos usuarios migrar a servidores con NT de forma
más sencilla.
Las características representativas de Windows 2000 fue que se agregó plug & play,
se integraron mejoras al manejo de energía, servicios de directorio en red y una GUI
(por sus siglas en inglés Graphical User Interface o Interfaz Gráfica de Usuario)
mejorada.
NT fue desarrollado contemplando requerimientos de seguridad que cumplen el
estándar C2 del Departamento de Defensa de los Estados Unidos (DoD 5200.28-
STD), el cual requiere que los sistemas operativos sean lo suficientemente seguros
como para utilizarlos en operaciones militares. Algunas características seguras que
se incluyeron son: inicio de sesión con medidas para evitar la suplantación de
identidad, control de permisos de los archivos por parte de sus propietarios,
controles de acceso privilegiados para el superusuario, protección del espacio de
direcciones por proceso, auditoría de seguridad, cifrado de archivos, entre otras.
En Windows, tanto los usuarios como los grupos se identifican con un SID (por sus
siglas en inglés Security ID o ID de Seguridad), que es un número en binario con un
encabezado al que le sigue un componente aleatorio largo, el cual está diseñado
para ser único.
Cuando un usuario inicia un proceso, éste y sus hilos (subprocesos) se ejecutan
bajo el SID del usuario. La seguridad se diseñó para que sólo los hilos que tienen
un SID autorizado puedan acceder a los objetos. Cada proceso tiene un token de
acceso que se crea mediante winlogon e indica quién es el propietario de ese
216
proceso, qué valores predeterminados y permisos posee; heredándolos a los
siguientes procesos.
También utiliza lo que se conoce como imitación de identidad, que se implementa
en la capa de transporte y se utiliza en las RPC (por sus siglas en inglés Remote
Procedure Call o Llamada a Procedimiento Remoto) para la comunicación de
clientes a servidores. Funciona de la siguiente manera: un hilo puede llegar a tener
un token de acceso diferente cuando se ejecuta, por lo que el token de acceso al
hilo invalida el token de acceso del proceso. Un hilo cliente puede pasar sus
permisos de acceso a un hilo servidor, permitiendo que pueda acceder a los
archivos protegidos del cliente.
El campo Grupos indica a qué grupos pertenece el proceso y el SID de usuario
indica quién es el propietario del proceso. Las SID restringidas permiten que los
procesos que no son de confianza puedan participar en tareas con los procesos de
confianza, pero con menos privilegios. En caso de haber privilegios listados, éstos
dan al proceso privilegios especiales que no tienen los usuarios ordinarios, como el
acceso a archivos especiales o la capacidad de apagar el equipo (shutdown). Los
privilegios pueden asignarse a procesos individuales, por lo que un usuario puede
tener algunos privilegios que sólo tiene comúnmente el superusuario, pero no se le
otorga todo el control.
Una parte importante del control de acceso de Windows se basa en los descriptores
de seguridad. Un descriptor de seguridad indica qué usuario puede realizar
operaciones sobre un objeto determinado y se asigna cuando se crea un objeto. El
sistema de archivos NTFS (por sus siglas en inglés New Technology File System o
Sistema de Archivos de Nueva Tecnología), que maneja Windows NT, junto con el
registro mantienen una forma persistente de descriptor de seguridad, con un
encabezado, una DACL (por sus siglas en inglés Discretionary Access Control List
o Lista de Control de Acceso Discrecional) que concede o deniega permisos para
217
tener acceso al objeto a usuarios específicos o a grupos, y con una o más ACE (por
sus siglas en inglés Access Control Entries o Entradas de Control de Acceso).
Por ejemplo, si un objeto de Windows no tiene una DACL, entonces el sistema
permite a todos el acceso completo ("prende" todos los permisos); si un objeto tiene
una DACL, el sistema sólo permite el acceso indicado por las entradas de ACE en
la DACL; si no hay ACE en la DACL, el sistema le deniega los permisos de acceso
a todos ("apaga" todos los permisos); y si una DACL tiene ACE que permita el
acceso sólo a usuarios o grupos específicos, el sistema negará el acceso a todos
los administradores que no están incluidos en las ACE.
Se pueden agregar entradas en la ACL, así como también se pueden agregar
entradas en la ACE; también se puede borrar una ACE y crear una ACL a partir de
otra. Cuando se actualiza una ACL, se debe unir al descriptor de seguridad y cuando
se crea un objeto, el descriptor de seguridad nuevo se le puede pasar como
parámetro para unirlo a él.
La seguridad en un sistema Windows se implementa con varios componentes, el
inicio de sesión se realiza con winlogon y la autenticación de usuarios se realiza con
LSASS (por sus siglas en inglés Local Security Authority Subsystem Service o
Servicio de Subsistema de Autoridad de Seguridad Local). Cuando se produce un
inicio de sesión exitoso, hay un nuevo shell de GUI (explorer.exe) con su token de
acceso asociado. Este proceso utiliza los grupos masivos de archivos SECURITY,
que establece la directiva de seguridad general, y SAM (por sus siglas en inglés
Security Account Manager o Administrador de Cuentas de Seguridad), que contiene
información de seguridad para usuarios individuales, en el registro.
Cada vez que un usuario abre un objeto, el sistema operativo realiza operaciones
de seguridad, abriendo el nombre del objeto y sus permisos; el monitor de referencia
de seguridad comprueba si el proceso que está haciendo la llamada tiene los
218
permisos necesarios, analizando el token de acceso del proceso que hizo la llamada
y la DACL asociada al objeto. Si se cumplen con todos los permisos, la apertura del
objeto es exitosa y en las llamadas subsecuentes únicamente se comprueba si la
operación está en el conjunto de operaciones solicitadas al momento de abrir el
objeto (ya se comprobaron los permisos), lo cual evita que un proceso abra un
archivo para lectura y después trate de hacer otras acciones no permitidas con él.
Todas las llamadas que se realizan en los manejadores generan entradas en la
bitácora de registro de auditoría.
Uno de los problemas que presenta Windows desde hace varias versiones, es que
una gran cantidad de usuarios utilizan el equipo con una cuenta de administrador,
por lo que introdujo UAC (por sus siglas en inglés User Account Control o Control
de Cuentas de Usuario), aunque en ocasiones, por cuestiones de permisos, los
administradores de las empresas les dejan esta opción a los usuarios, lo que implica
un riesgo serio, ya que algún error puede dañar el sistema o bien se puede tener un
mayor nivel de daño en caso de algún ataque a la cuenta del usuario administrador,
ya sea por phishing, ingeniería social o algún otro ataque, ya que cualquier ataque
exitoso tendría acceso con un perfil administrativo y podría tener una repercusión
profunda en el sistema.
De forma regular se agregan nuevas características de seguridad a Windows y se
presentan como actualizaciones que pueden programarse para que se descarguen
automáticamente o bien con la opción de que el usuario primero revise qué se
instalará y elija lo que se desea actualizar.
La realidad es que, si has trabajado con Windows, sabrás que a veces las
actualizaciones automáticas no son la mejor idea, es mejor esperar un poco de
tiempo de que sale la actualización y se reporta estable, para instalarla. Es
importante revisar e instalar las mejoras de seguridad, ya que de no hacerlo se corre
el riesgo de tener la puerta abierta a que personas malintencionadas vulneren el
219
sistema a través de malware o ransomware, entre otros, pero hay que darle también
un tiempo adecuado a esa actualización.
220
7.2. Seguridad en bases de datos
Las bases de datos nos ayudan a almacenar diversos tipos de información, desde
datos sencillos como nombre de una persona, dirección postal, número telefónico,
o bien datos que son considerados críticos, como el número de su cuenta bancaria,
su saldo, su número de seguridad social entre otros que pueden utilizar por ejemplo
instituciones bancarias.
La seguridad en las bases de datos debe tratarse con el mismo nivel de importancia
que tiene la información que se almacena, ya que pueden tratarse de activos muy
valiosos para terceros.
221
En las bases de datos se pueden implementar mecanismos que permitan o
denieguen el acceso a los datos, ya sea a través de perfiles jerárquicos o roles
específicos que puede generar el administrador de la base de datos. No todos los
usuarios son creados iguales, algunos tienen más permisos que otros, por lo que
se debe garantizar la rendición de cuentas por usuario, haciéndolos responsables
de sus acciones cuando usen su cuenta y la base de datos; se debe también prever
que se podrán administrar los privilegios para limitar el acceso a los datos, en caso
necesario.
Se recomienda utilizar cifrado en los datos almacenados para volverlos ilegibles,
sobre todo los que son confidenciales; esto implica cifrar los datos también en su
transmisión, previniendo que un delincuente utilice un sniffer.
Es por lo general una buena práctica y una preocupación de los administradores de
servicios informáticos (red, bases de datos, servidores, entre otros), crear y
mantener entornos seguros, para que haya una probabilidad menor en los riesgos
que se puedan presentar, aunque siempre hay que recordar que ningún tipo de
seguridad es 100% efectiva.
Las estadísticas nos enseñan que una gran parte de los ataques que se realizan,
los hacen personas que pertenecen a la empresa que se ataca, y justo lo más difícil
en la seguridad, es contemplar la protección incluso contra los mismos usuarios a
los que se les han asignado ciertos privilegios; esta protección es más complicada
que cuando se protege un sistema contra ataques externos.
Los controles de acceso deben siempre contemplar que se accede desde los
lugares permitidos y con las reglas establecidas previamente. Los mecanismos de
seguridad, de forma general, son reglas impuestas por el DBMS (por sus siglas en
inglés Database Management System o Sistema de Manejo de la Base de Datos),
que verifica cada solicitud de acceso, revisando las restricciones de seguridad
222
almacenadas en el catálogo del sistema; sin embargo esto no es completamente
efectivo debido a que siempre debemos considerar que existen puntos vulnerables
del sistema, lo cual puede derivar en un robo de los datos o en el cambio de los
mismos en la base de datos, haciéndola no confiable y comprometiéndola de forma
grave, lo cual tiene que ver con los principios de integridad, disponibilidad y
confidencialidad de la información. La integridad de la base de datos tiene que ver
con que la información que se almacena en ella esté protegida contra
modificaciones no autorizadas o no consideradas.
La disponibilidad se refiere a hacer que los objetos estén disponibles para un
usuario legítimo o un programa debidamente autorizado, que cuente con los
permisos de efectuar las operaciones que solicita.
La confidencialidad es la protección de los datos contra la exposición no autorizada,
la cual puede derivar en acciones legales contra la empresa, la pérdida de confianza
de sus clientes y demás usuarios, o bien en una pérdida de dinero en acciones,
entre otros problemas serios.
El ataque a las bases de datos es uno de los blancos favoritos de los delincuentes
informáticos, y aunque las medidas de seguridad se enfocaban en proteger la red
223
empresarial con firewalls, IDS (por sus siglas en inglés de Intrusion Detection
System o Sistema de Detección de Intrusos) / IPS (por sus siglas en inglés Intrusion
Prevention System o Sistema de Prevención de Intrusos), antivirus, antispam,
antimalware entre otros, es cada vez más frecuente que el enfoque sea más integral
y se tome en cuenta en específico la seguridad de las bases de datos, sobre todo
las que almacenan datos críticos o tienen activos importantes para la empresa.
El departamento de seguridad de una empresa debe conocer muy bien qué datos
se almacenan en sus bases de datos. Hay empresas que, aunque en sus sistemas
manejan datos confidenciales, como números de cuentas bancarias, éstos no son
almacenados, lo cual es una buena práctica debido a que no se corre riesgo en los
datos que no se almacenan, aunque sí se deberá tomar en cuenta la seguridad en
la transmisión de los mismos.
Los datos que se consideran críticos son conocidos como los activos de la base de
datos, y éstos deben conocerlos a la perfección los administradores de la base de
datos, así como si presentarán cambios debido a alguna actualización, aplicaciones
nuevas consideradas de confianza, nuevas funciones o bien la fusión o adquisición
de la empresa. Para esto, deben tener una excelente comunicación los
administradores con los equipos de desarrollo que hagan modificaciones o
actualizaciones en los sistemas y sus bases de datos.
Hay algunos tipos de amenazas que se registran frecuentemente en foros de
seguridad, de los que deben estar al pendiente los encargados de la seguridad de
la empresa, tal como los ataques de inyección, el cross-site scripting (por sus siglas
en inglés XSS de Cross Site Scripting o Ejecución de Comandos en Sitios Cruzados)
o Cross-Site Request Forgery (por sus siglas en inglés CSRF o Falsificación de
Petición en Sitios Cruzados), entre otros.
224
Es importante también evaluar la configuración de las bases de datos, para
asegurarse que no tiene vulnerabilidades, dejando siempre la configuración de la
seguridad en un nivel alto, lo más alto posible en caso de contener datos críticos.
La configuración no sólo tiene que ver con la misma base de datos, sino con la
configuración y actualización del sistema operativo, librerías y todo lo que involucre
al ecosistema digital en donde está instalada; revisando los permisos de usuarios y
grupos en cuanto a la lectura, escritura y ejecución de la base de datos y bitácoras
de transacciones.
Si se automatiza el control de la configuración, debe quedar registro de cualquier
cambio que se realice, ya sea manual o automático. Lo mejor es configurar alertas
cada vez que se detecten cambios en la configuración, para que el administrador
esté enterado de ellas.
Adicionalmente, se debe verificar que la base de datos se ejecuta con versiones
que no tienen vulnerabilidades conocidas, lo que se puede hacer verificando en
foros, comunidades y empresas de seguridad.
En algunos casos resulta benéfico eliminar las funciones que se no utilicen, así
como aplicar y difundir políticas de seguridad estrictas sobre lo que se puede o no
hacer.
Una vez que esa parte se efectúe, se deben realizar pruebas en donde se audite la
seguridad que se ha especificado en las políticas y la forma en la que se operan los
sistemas y la base de datos, para revisar que se cumplen y si hay algunas otras
vulnerabilidades que no se hayan considerado al momento.
Una vez que se realizan las pruebas, se mejora la seguridad con las buenas
prácticas que se deriva del reporte final y luego se debe realizar la monitorización
continua de la actividad de la base de datos para conocer si ha habido intentos de
225
entradas no autorizadas, si se han registrado intrusiones exitosas, si se ha hecho
un uso indebido de los datos o cómo se realiza la actividad de los usuarios con
permisos privilegiados, que llegan a ser las cuentas más atacadas. También se
puede detectar actividad sospechosa, como que haya patrones de comportamiento
inusuales, cambios de permisos, cambios no autorizados en los datos, cambios de
configuración, entre otros.
Los ciclos de revisión y pruebas deben ser rutinarios, por lo que es necesario que
el administrador implemente y revise periódicamente los informes sobre los accesos
y permisos de usuarios, las políticas de seguridad y realice las pruebas y auditorías
necesarias, para que no se facilite el trabajo a los delincuentes.
226
7.3. Seguridad en el desarrollo de aplicaciones
Los riesgos a los que nos enfrentamos diariamente tienden a evolucionar con el uso
de las tecnologías, el almacenamiento en la nube, el uso de aplicaciones web y
móviles, el Internet de las cosas (IoT), entre muchos otros.
Según un reporte de 2017 de la empresa Symantec (2017 Norton Cyber Security
Insights Report Global Results), se indica que aproximadamente 978 millones de
adultos en 20 países han experimentado el cibercrimen o delitos cibernéticos; desde
la suplantación de identidad, el robo de información financiera, hackeo a sus
cuentas de correo o redes sociales, phishing, correo fraudulento, entre otros. Las
pérdidas a nivel mundial a causa de este tipo de delitos son de $172 mil millones de
dólares americanos (USD).
La utilización de las aplicaciones se ha hecho indispensable; hace ya varios años
que incluso no es necesario instalar las aplicaciones en nuestro equipo de cómputo,
ya que podemos utilizarlas desde la nube. También usamos muchas de ellas en los
dispositivos móviles, donde por lo general guardamos mucha información personal.
Esto hace indispensable que se utilicen metodologías de desarrollo seguro de
aplicaciones, que garanticen que el manejo de toda nuestra información se hace
con el mayor cuidado y precisión posible.
Una metodología de desarrollo seguro puede definirse como los procedimientos, las
herramientas, las técnicas y la documentación que apoyará a los desarrolladores a
realizar nuevo software, contemplando la seguridad desde el inicio y no hasta el
final. A esto se le conoce como SDM (por sus siglas en inglés Software Development
Methodology o Metodología de Desarrollo de Aplicaciones).
227
Hay diversas metodologías que se encuentran documentadas, por lo que es
importante conocerlas, revisarlas y ver cuál de ellas aplica para el tipo de desarrollo
que se realizará, ya que una metodología no es necesariamente apta para cualquier
tipo de proyecto.
En el desarrollo se podrá revisar si la aplicación será o no vulnerable a ataques y si
será capaz de bloquear o mitigar el daño que pueda causarle. Muchos problemas
de seguridad en aplicaciones se podrían evitar si los desarrolladores conocieran las
posibles amenazas, y aunque nos resulte increíble, hay muchos programadores que
desconocen incluso las vulnerabilidades más comunes o las mejores prácticas para
realizar los desarrollos, que debería ser algo básico en su ejercicio profesional. Los
objetivos de adoptar una metodología de desarrollo seguro son:
Contar con un proceso estructurado de desarrollo con el que se identifiquen
entradas y salidas de cada fase.
Si se contemplan productos intermedios entre cada fase.
Desarrollar aplicaciones más seguras y que manejen de forma privada la
información.
Tener una mejor planificación y control del proyecto.
Realizar pruebas de seguridad desde las fases iniciales, para ahorrar tiempo
en las mejoras necesarias.
Proveer a los usuarios finales un producto más confiable.
Hay que tomar en cuenta que un software de buena calidad no es necesariamente
seguro, ya que puede funcionar a la perfección y cumplir todos los requerimientos
para los que fue creado, pero tener huecos de seguridad, que si los aprovecha un
delincuente informático podría representar daños importantes en los equipos o la
información de los desarrolladores o sus usuarios.
228
Cuando se hacen pruebas en cualquier fase de la metodología seleccionada,
pueden producirse fallas permanentes en el sistema, sin embargo, es necesario
realizar esas pruebas para poder detectar las fallas y que se produzcan en un
ambiente controlado, y no en los equipos de los usuarios finales. Por esta razón, la
seguridad en el desarrollo es igual de importante cuando se inicia el proceso,
cuando se avanza por cada fase, cuando se finaliza la aplicación y cuando se
ejecuta por los usuarios.
CbyC (por sus siglas en inglés Correctness by Construction o Corrección por
Construcción). Este método es recomendado cuando el desarrollo requiere un alto
y riguroso nivel de seguridad que pueda ser demostrado. Uno de los objetivos de
esta metodología es tener un porcentaje mínimo de defectos y que pueda
actualizarse fácilmente ante los diferentes cambios que puedan requerirse en el
futuro. Esto se logra con la filosofía de que sea muy complejo introducir un error al
sistema, y que, si se lograra introducir, éste sea detectado y eliminado de forma
inmediata.
SDL (por sus siglas en inglés Security Development Lifecycle o Ciclo de vida de
desarrollo seguro). Microsoft propuso esta metodología para la mejora de la
seguridad en el software a través de 16 actividades que se van realizando por
etapas. Una propuesta interesante es que plantea un modelo de amenazas (threat
model) que les permite a los desarrolladores encontrar partes en el código que
pueden ser vulnerables a amenazas.
OSSTMM (por sus siglas en inglés Open Source Security Testing Methodology
Manual o Manual de Metodología de Pruebas de Seguridad de Código Abierto).
Como se indica en la página web de este proyecto (http://www.isecom.org/), fue
desarrollado por ISECOM (por sus siglas en inglés Institute for Security and Open
Methodologies o Instituto para la Seguridad y Metodologías Abiertas), que es una
organización sin fines de lucro dedicada al desarrollo de metodologías para revisar
229
la seguridad a través de la revisión de aplicaciones, el desarrollo seguro y la
capacitación y concientización en temas de seguridad. Es muy utilizada por
auditores de seguridad, ya que incluye una descripción muy detallada de lo que hay
que revisar en cada fase y propone plantillas para aplicar técnicas de hackeo ético
que permiten identificar los puntos débiles del sistema auditado. Propone tres
escenarios ante un ataque: crear una barrera lógica o física entre los activos y las
amenazas; reducir las amenazas a un estado donde el efecto dañino sea mínimo o
bien, el ideal que es anular por completo las amenazas.
OWASP (por sus siglas en inglés Open Web Application Security Project o Proyecto
Abierto de Seguridad en Aplicaciones Web). Como se indica en la página web de
este proyecto (https://www.owasp.org) OWASP es una comunidad de voluntarios
sin fines de lucro donde cualquier persona puede participar para desarrollar un
proyecto o parte de él. Esta comunidad desarrolla recursos que son ofrecidos
gratuitamente, desde aplicaciones, publicaciones, artículos, normas, entre otros, y
promueve el desarrollo de software seguro, centrándose principalmente en el "back-
end" más que en el diseño web. Entre los diferentes proyectos que tiene OWASP
está el llamado “Top 10”, que es una lista muy precisa donde se revisan los diez
riesgos de seguridad más críticos en aplicaciones, con el objetivo no sólo de darlos
a conocer, sino hacer conciencia desde los tomadores de decisiones hasta los
integrantes de los equipos de desarrollo, que sepan de su existencia, cómo
identificarlos, qué los generan, las consecuencias de tenerlos en las aplicaciones,
así como buenas prácticas para protegerse contra ellos.
230
RESUMEN
El software inseguro, tanto de sistema como las aplicaciones de usuario, debilita las
finanzas, confianza, credibilidad y la imagen de una empresa. La cantidad de
variables que intervienen dentro de un ecosistema digital hace que la seguridad sea
compleja y que siempre vaya en aumento. Lo que hoy es seguro, el día de mañana
ya no lo es tanto, y hay una carrera constante entre delincuentes informáticos y
especialistas en seguridad para ver qué protecciones son rebasadas, dejándolas
inservibles o al menos comprometidas.
Las metodologías de desarrollo seguro buscan que haya menos problemas de
seguridad, sobre todo porque se ha visto una tendencia a cometer los mismos
errores, teniendo procesos repetitivos durante varios años, y que siguen sin
arreglarse no por falta de disposición, sino de conocimiento por parte de los equipos
de desarrollo, que se especializan en conocer a profundidad los lenguajes de
programación, pero no tan a detalle la seguridad. Esto nos lleva a que los equipos
hoy deben conformarse con múltiples disciplinas para que no haya perfiles
demasiado elevados, que sean difíciles de conseguir y contratar o sean demasiado
costosos para las empresas.
La mayoría de los proyectos de desarrollo seguro han comenzado con el objetivo
de capacitar y concientizar a los desarrolladores y tomadores de decisiones en
temas de seguridad, que es un tema que se proyecta sumamente importante en los
próximos años.
231
BIBLIOGRAFÍA DE LA UNIDAD
Bibliografía sugerida
Autor Capítulo Páginas
Tanenbaum; Andrew 10. Caso de estudio 1 LINUX. 719 a 806
Tanenbaum; Andrew 11. Caso de estudio 2 Windows. 813 a 924
Gallardo; Gabriel 1. Conceptos básicos sobre la seguridad en base de datos.
18 a 29
232
UNIDAD 8 PLANEACIÓN DE LA CONTINUIDAD
DEL NEGOCIO Y DE LA RECUPERACIÓN EN CASO DE
DESASTRE (BCP/DRP)
233
OBJETIVO PARTICULAR
Al finalizar la unidad, el alumno podrá diseñar e implementar planes de contingencia
y recuperación para asegurar una pronta recuperación de la organización.
TEMARIO DETALLADO
(4 horas)
8. Planeación de la continuidad del negocio y de la recuperación en caso de
desastre (BCP/DRP)
8.1. Planeación de la continuidad del negocio (BCP)
8.1.1. Planeación y alcance del proyecto
8.1.2. Evaluación de impacto en el negocio (BIA)
8.1.3. Estrategias de contención
8.1.4. Estrategias de recuperación
8.1.5. Desarrollo del plan de recuperación
8.1.6. Implementación del plan
8.2. Plan de recuperación en caso de desastre (DRP)
8.2.1. Desarrollo del plan de recuperación
8.2.2. Implementación del plan
8.3. Elementos del plan de continuidad del negocio
8.4. Eventos BCP/DRP
234
INTRODUCCIÓN
Cuando se presenta alguna situación inesperada, lo lógico es que tardemos en
reaccionar de la mejor manera, pero ¿qué pasaría si estuviéramos preparados? Lo
más probable es que sepamos cómo actuar y que sea en nuestro beneficio, ya que
se pensó de forma anticipada al suceso, se evaluaron diferentes soluciones y se
seleccionó la más apropiada en cada caso.
Cuando hablamos de seguridad informática, tenemos herramienta de prevención
ante situaciones de ataques, desastres o bien malos manejos de alguna de las
variables que componen nuestro ecosistema digital, por ejemplo, alguna cuenta de
usuario. Se debe pensar en cómo nos podemos recuperar ante algún suceso, saber
con antelación el impacto que tendría si fuera exitoso un ataque y qué plan podemos
seguir antes de que ocurra, en el momento en que está ocurriendo o bien una vez
que ha pasado el suceso. Si tenemos esto contemplado y lo hemos dejado por
escrito, podemos denominar a esta herramienta nuestro plan de contingencia y
recuperación.
El análisis de los riesgos es algo que debemos considerar en la seguridad
informática; así como no hay algo 100% seguro, tampoco estaremos nunca exentos
de que suceda algún tipo de desastre y se debe planear qué hacer antes, durante y
después del desastre.
Tanto el plan de contingencia como el de recuperación, permiten conocer los pasos
a seguir para actuar de forma asertiva ante una situación negativa, para tratar de
minimizar los daños o cualquier efecto no deseado.
Este plan puede llegar a incluir algunas generalidades que apliquen a una gran
cantidad de empresas; pero, por lo general, hay que analizar los riesgos de la
235
empresa que se desea asegurar, para que de forma efectiva podamos discernir si
es o no susceptible a ciertos riesgos.
236
8.1. PLANEACIÓN DE LA CONTINUIDAD DEL NEGOCIO (BCP)
Una forma sencilla de entender de qué trata la planeación de la continuidad del
negocio (en inglés BCP de Business Continuity Plan), es pensar qué debemos hacer
para recuperarnos de cualquier situación problemática que pueda impactar
negativamente a la empresa u organización.
Las situaciones que afectan a la empresa de forma negativa pueden ser desde
ataques informáticos como virus, phishing, malware, ransomware; o bien desastres
naturales como sismos, huracanes, tsunamis, incendios, inundaciones, entre otros.
Debemos estar preparados siempre ante cualquier situación negativa que pueda
ocurrir, para saber cómo actuar y cómo podemos continuar la operación con el
menor daño posible.
Los planes de contingencia son herramientas ante la prevención de desastres en
donde se indican las acciones que se deben seguir paso a paso ante cada situación;
y aunque es una buena práctica contar con ellos, son pocas las empresas que los
desarrollan como medida preventiva o bien no los tienen por escrito en un
documento que puedan conocer y consultar todos los colaboradores.
8.1.1. Planeación y alcance del proyecto
Desafortunadamente, muchas empresas van construyendo un manual conforme les
van sucediendo algunas situaciones negativas, es decir, no tienen una planeación.
Los desastres en general no podemos prevenirlos, pero sí podemos hacer un
análisis de las actividades que tiene una empresa y deducir a qué tipo de desastres
es más propensa.
237
Por ejemplo, no es lo mismo la actividad de un banco que la de un centro de atención
telefónica, ya que, de ambos, seguramente el banco será más atacado por
ciberdelincuentes. Pero ahora ubiquemos el banco en una zona urbana y el centro
telefónico en una zona donde al menos una vez al año se presentan huracanes, y
entonces tendremos una empresa que es altamente probable que tenga que pasar
por un desastre natural.
Se puede tomar en cuenta lo definido en la Norma ISO 31000:2009 que indica los
principios generales para la administración de cualquier tipo de riesgo, sin enfocarse
a algún tipo de industria o sector de la empresa.
Las empresas, por lo general, ya tienen un historial de los ataques que han
detectado; así como los desastres a los que ha estado expuesta, y a ello se deben
enfocar los esfuerzos en primera instancia; si tomamos el historial de otra empresa,
el resultado naturalmente no será el óptimo.
En sus inicios, ARPANET se concibió como una red que pudiera recuperarse ante
un desastre, teniendo varias rutas posibles para poder enviar la información a su
destino. Con esta misma filosofía podemos ver la planeación que debemos hacer:
diseñar un plan que por diferentes vías nos permita poder continuar la operación, y
si es necesario, recuperar lo que hayamos perdido a causa del desastre. Para esto,
es necesario elaborar dos planes: uno de continuidad del negocio y otro
complementario, para la recuperación.
Un plan de continuidad establece los pasos y las herramientas que deben seguirse
en caso de que ocurra un desastre que afecte la operación de la organización y que
pueda seguir su operación. Para esto, debemos conocer detalladamente las tareas
cotidianas, las que tienen prioridad y las que son de un nivel crítico, así como definir
distintos niveles de desastre. Eventos como el sismo ocurrido en México el 19 de
septiembre de 2017 hicieron evaluar a muchas empresas si podían sobrevivir ante
238
desastres de esa naturaleza, perdiendo no sólo edificios y cosas materiales, sino
incluso vidas. La realidad es que muchas de ellas no tienen planes de continuidad
de negocio que puedan asegurarles su supervivencia ante hechos tan dramáticos.
En el caso de un plan de recuperación, se toma como una estrategia que
complementa al plan de continuidad; donde se definen las acciones necesarias para
que una organización que sufre un desastre mayor pueda seguir operando, y a corto
o mediano plazo recupere su operación habitual.
Justo este es el alcance de nuestro proyecto, poder continuar la operación ante un
desastre, bajo condiciones extraordinarias, y que, en un corto o mediano plazo se
recupere la operación normal.
No se debe idealizar, sino de una forma objetiva definir objetivos, y también como
área de seguridad en TIC (Tecnologías de información y comunicación), se debe
contar con una misión y visión, no de la organización en general, sino de esta área
en específico.
8.1.2. Evaluación de impacto en el negocio (BIA)
El análisis de impacto del negocio, BIA (por sus siglas en inglés Business Impact
Analysis), ayuda a identificar de forma precisa los procesos de cada área de la
empresa y analizar su nivel de impacto en la gestión del negocio.
Se identificarán los procesos críticos que afectan a los activos y a los clientes, la
información que se debe proteger, las áreas esenciales para la operación y todo el
trabajo que debe realizarse para que después de un desastre de disponga de los
sistemas, datos, infraestructura tecnológica y recursos humanos necesarios para
mantener al menos un mínimo porcentaje de operación en la empresa.
239
En este análisis, se deben identificar las amenazas al negocio y establecer
escenarios de siniestros, evaluando su impacto en la organización. Por ejemplo, la
operación de una empresa puede interrumpirse por retrasos en la entrega de los
proveedores de bienes o servicios o bien por su suspensión. Si llega a ocurrir que
hay desabasto de gasolina en una ciudad grande como la Ciudad de México, es
necesario ser creativo y definir escenarios y posibles soluciones a considerar.
Identificar y evaluar el impacto de un desastre en una empresa nos dará una base
para definir estrategias de recuperación, así como la inversión que se debe realizar
para prevenirlos o bien mitigarlos.
De acuerdo con algunos puntos que se toman a consideración del BIA, se debe
identificar el impacto operativo y financiero que desencadena interrumpir las
operaciones, por lo que hay que considerar:
El BIA identifica el impacto operativo y financiero que desencadena interrumpir las
operaciones, por lo que hay que considerar:
Sanciones por contratos.
Ventas perdidas.
Falta de ingresos.
Aumento en los gastos.
Pérdida de confianza por parte de los clientes.
Pérdida de nuevos negocios o clientes.
Retrasos en la entrega de bienes o servicios pactados. (Serra, 2009)
El tiempo que dura un desastre, también es un elemento importante para tomar en
cuenta. La falta de energía eléctrica por unos minutos puede parar la operación de
cobranza de la empresa, pero si dura horas, es muy probable que perdamos la
oportunidad de venderle a más clientes. Si hay desabasto de gasolina por días se
240
puede generar un problema en la entrega de algún producto, pero si dura semanas,
puede llegar a colapsar la operación, generando un impacto negativo.
Se puede utilizar un cuestionario BIA para encuestar a los mandos medios y altos
de una empresa, pero los que más nos aportarán datos relevantes son aquellos que
conozcan detalladamente cómo funciona la operación de la empresa desde que
realiza un producto hasta que lo entrega. Identificando a ese personal, se les puede
pedir que piensen en el posible impacto si se interrumpe la parte del proceso en el
que trabajan.
Una vez que se tienen las respuestas a la encuesta, se debe elaborar un informe
que documente el impacto de cada escenario de interrupción de negocio, y esto
debe evaluarse desde diferentes perspectivas: legal, financiero, operación,
seguridad, entre otras; lo cual ayudará a planificar diferentes estrategias de
recuperación.
Después de este análisis y propuestas, se deberán dar prioridad a los eventos que
impacten de forma más negativa al negocio, ya que esos serán los que deberán
reestablecerse primero.
En este punto, debemos mencionar a los RFC (por sus siglas en inglés Request For
Comments o Solicitud de Comentarios) que con documentos que a la larga pueden
llegar a convertirse en estándares y son administrados por el IETF (por sus siglas
en inglés Internet Engineering Task Force o Grupo de Trabajo de Ingeniería de
Internet), que las pone a disposición del público en general.
Como indica Gómez en la Enciclopedia de la Seguridad Informática (2011, p. 302),
los documentos RFC 1244 y RFC 2196 proponen la jerarquización de las
actividades a realizar de un equipo de respuesta a incidentes de la siguiente
manera:
241
Prioridad Acción
1 Proteger la vida y la seguridad de las personas.
2 Proteger datos e información importante para la organización.
3 Proteger otra información de la organización.
4 Prevenir daños en los sistemas informáticos por pérdida o modificación de archivos).
5 Minimizar la interrupción de los servicios ofrecidos a los distintos usuarios, ya sea internos o externos.
Tabla 8.1. Jerarquización de actividades de un equipo de respuesta a incidentes.
8.1.3. Estrategias de contención
En el plan de respuesta a incidentes, el equipo de respuesta debe seleccionar una
estrategia de contención del incidente de seguridad. Por ejemplo, una primera
opción puede ser actuar rápidamente para evitar que el incidente crezca y que por
lo tanto su alcance de daño sea mayor. Las acciones que se puede elegir son:
apagar los equipos que han sido afectados, aislarlos de la red, desactivarles
servicios, activar un servidor secundario con un respaldo, entre otros. Esta
estrategia de contención es adecuada cuando se sabe qué equipos son los que han
sido comprometidos y si alguno de ellos puede poner en riesgo la actividad crítica
de la organización.
Una alternativa secundaria es retrasar la contención para revisar con más detalle
qué tipo de incidente se está efectuando y averiguar su origen. Si es posible realizar
una monitorización a pesar del incidente que está ocurriendo, podría ser una buena
elección para reunir evidencias y controlarlo desde su raíz, para que una vez
identificado se puedan realizar las acciones informáticas y legales que
242
correspondan; sin embargo, podrían desatarse mayores consecuencias para la
organización o sus clientes.
En algunos tipos de ataques, por ejemplo, DoS o DDoS, podría necesitarse el apoyo
del ISP o de administradores de otras redes para poder contener el ataque y dar
solución a los usuarios para que tengan acceso a sus servicios.
8.1.4. Estrategias de recuperación
Adicionalmente al plan de continuidad, se debe desarrollar un plan de recuperación
del negocio en caso de que suceda algún incidente dentro de la organización, en el
cual se afecte alguna parte del ecosistema digital. El plan de recuperación incluye
un procedimiento a seguir por parte de los administradores de la organización, para
que recuperen lo antes posible la operación normal ante un incidente de seguridad.
El plan debe definirse determinando los riesgos que podrían impactar de forma
crítica la operación de la organización, definiendo diferentes opciones de
recuperación: Por ejemplo, se puede definir trabajar con servidores en paralelo que
puedan continuar la operación normal en caso de un ataque a los servidores
principales. Para esto, es necesario contemplar la reinstalación de sistemas
operativos y aplicaciones, hacer uso de respaldos seguros, desactivación de
servicios, cambio de contraseñas, desactivación de cuentas, entre otros; para al
final realizar pruebas que nos aseguren el restablecimiento del servicio y su correcto
funcionamiento.
243
8.1.5. Desarrollo del plan de recuperación
La norma BS 25999 (Estandars Centre, 2019), indica cómo debe realizarse la
gestión del plan de continuidad del negocio, enfocado primordialmente a la
disponibilidad de la información, que es un activo identificable en cualquier
organización. Esta norma consiste en una serie de “buenas prácticas” que
facilitarían la recuperación de los recursos que permiten operar de forma normal a
una empresa en caso de desastre; tomando en cuenta infraestructura tecnológica,
recursos humanos y sistemas.
La norma consta de dos partes: La primera es un documento de orientación que
proporciona recomendaciones prácticas para la BCM (por sus siglas en inglés
Bussines Continuity Management o Gestión de la Continuidad del Negocio), y la
segunda indica los requisitos para tener un sistema de gestión de la continuidad.
Una parte importante de esta norma es el desarrollo del sistema de gestión de
continuidad del negocio, cuyos puntos clave son:
a. Planificación de requisitos. Donde se desarrollan los antecedentes, objetivos,
alcances y requisitos que tiene el plan.
b. Suministradores y subcontratistas. Se analiza qué capacidad tienen los
proveedores y subcontratistas para dar continuidad al negocio.
c. Política. Define acciones a seguir para la gestión de la continuidad del
negocio.
d. Provisión de recursos. Indica qué recursos humanos, financieros, sistemas,
entre otros, son necesarios para que funcione el sistema de gestión.
e. Formación, concientización y competencia. Se identifican las competencias
del personal que interviene en el sistema de gestión de la continuidad del
negocio, y en caso de que no tengan las competencias requeridas, se les
capacita en lo que sea necesario.
244
f. Documentación y registros. Se desarrollan los documentos que definen al
sistema de gestión, desde su análisis hasta su implementación.
8.1.6. Implementación del plan
Basándonos en lo que se menciona en la Guía de desarrollo de un plan de
continuidad de negocio, cuando ya se ha desarrollado la documentación del sistema
de gestión, hay actividades que deben realizarse, como:
a. Análisis de impacto en el negocio. Determinar las repercusiones de
distintas situaciones que pudieran provocar la interrupción del negocio.
b. Análisis de riesgos. Se identifican las amenazas y vulnerabilidades que
tienen las actividades críticas de la organización.
c. Opciones de tratamiento del riesgo. Se visualizan opciones para mitigar
los riesgos en caso de que la probabilidad de ocurrencia de la interrupción
sea alta, o bien que se limite su duración. Un ejemplo es el desabasto de
gasolina, que hace unos meses en México, por ejemplo, hubiera parecido
con una probabilidad baja, pero que ya tiene una ocurrencia, por lo que
se deben tener escenarios para solventar esa problemática, y definir
cuánto puede durar esa solución en caso de que el problema de
desabasto se alargue.
d. Opciones de continuidad de negocio. Se definen las tareas que deben
realizarse para que la organización realice nuevamente sus actividades
definidas como críticas, en el menor tiempo posible.
e. Actividades de respuesta. Se definen los procesos que responderían ante
una interrupción de las operaciones normales y se realiza la gestión de
las actividades de recuperación del negocio.
f. Planificación documentada. Todos los planes deben quedar por escrito y
hacerlos del conocimiento de los involucrados que tendrán
responsabilidad de alguna de las tareas. Deben ser muy precisos,
245
indicando las actividades y tiempos en los cuales debe realizarse cada
tarea, quiénes son los responsables de tomar decisiones, de ejecutar
cada actividad y si hay agentes externos contemplados.
g. Ejercicios. Con la documentación y el pleno conocimiento de ella por parte
del personal de toda la organización (aun cuando no sean los
responsables de alguna actividad) se deben realizar simulacros para
realizar las actividades en los tiempos indicados y revisar que los planes
se cumplan a cabalidad.
h. Revisión de planes y estrategia. Cuando se realizan los ejercicios, se
puede revisar si todo lo indicado en los planes aplica en las condiciones
actuales de la organización o si es necesario afinar algo.
i. Revisión del sistema de gestión de la continuidad del negocio. Los
ejercicios deberán auditarse, es decir, deberán documentarse y hacerse
periódicamente para asegurar que se cumple con las tareas y objetivos
previstos, comprobando que funcionan para reactivar la actividad
primordial de la organización en los tiempos esperados. (INCIBE, Sin
año).
246
8.2. Plan de recuperación en caso de desastre (DRP)
Cuando se realice un plan de recuperación en caso de desastre, lo primero que
debemos hacer es definir su alcance, identificando los procesos que son necesarios
para la continuidad de las operaciones y su vuelta a la normalidad.
La primera decisión que debe realizarse es si se dará continuidad a las tareas que
se realizan de forma secundaria en la organización, o si la operación de
recuperación debe contemplar solamente las actividades prioritarias; o bien en qué
tiempo deberán ser tomadas en cuenta todas. Esta etapa de planificación debe estar
alineada con una política dictada desde la dirección de la empresa, para que se
asignen los recursos necesarios.
En cualquier caso, un paso primordial es conocer muy bien la organización, ya que
de tomarse en cuenta acciones que no son necesarias, o bien omitir otras, puede
derivar el fracaso de nuestro plan.
8.2.1. Desarrollo del plan de recuperación
Hay cinco aspectos del plan de recuperación que se proponen de acuerdo con
Baca (2016, p. 260):
Equipos del área informática que pueden sufrir un daño irreparable en un
incidente. Esto puede ser desde equipos de cómputo, de telecomunicaciones
o incluso partes del inmueble en donde se resguardan los bienes
informáticos, puesto que éste puede resultar dañado por incendio, sismo o
inundación, entre otros.
Determinar la logística necesaria para reiniciar el funcionamiento del negocio:
Se identifican las actividades consideradas como críticas que deban
247
atenderse y ponerse en funcionamiento en primer lugar, así como los
recursos tanto humanos como tecnológicos necesarios para llevarlo a cabo,
y el tiempo que se llevará el proceso.
Asignar responsabilidades en un organigrama elaborado en exclusiva para
casos de riesgos catastróficos: Esta asignación de responsabilidades
identificará al personal que llevará a cabo la recuperación en caso de un
evento catastrófico, el cual no necesariamente tendría que ser el mismo que
realiza la operación normal, sino podría ser alguien de la misma empresa
pero de otra sucursal, o bien la contratación de una empresa externa que
sepa de forma precisa lo que debe realizar en el plan de corrección y
recuperación.
Determinar los costos que implica adoptar el plan de corrección y
recuperación: Implica los costos que se deriven de la adquisición o renta de
equipo tecnológico, contratación de una empresa o personal adicional, entre
otros gastos que contemplen los planes.
Delinear un programa de simulacros de catástrofes: Se deben realizar
auditorías periódicas para verificar en simulacros que el personal sabe sus
responsabilidades y llevan cabalmente las actividades de los planes
desarrollados, así como revisar que las medidas siguen vigentes al momento.
8.2.2. Implementación del plan
Con la documentación que se realiza en los planes de corrección y continuidad del
negocio, será posible que los responsables de implementarlos puedan tomar la
decisión más adecuado en caso de un desastre. Es deseable tener dos o más
opciones para cada caso, tener una sola es inadmisible, ya que entonces la única
decisión que se tendría que tomar sería la de ejecutar el plan o no.
248
En cualquiera de los planes, el objetivo es la eficacia y la eficiencia, donde la eficacia
es que cuando se aplique el plan éste funcione de la forma esperada; y la eficiencia
se entiende en términos de que el plan funcione al menor costo posible, sin disminuir
la eficacia.
Cada plan deberá alinearse con la misión y la visión general de la organización, así
como con la misión y la visión del área de TIC.
Se debe también tener honestidad por parte del área de TIC, al preguntarle de las
condiciones de seguridad física y lógica del área, deberá indicar si saben de algún
riesgo que nadie haya contemplado, incluso si hay personal que pudiera representar
un riesgo en la seguridad. Adicionalmente, las personas se deben conducir
éticamente, es decir, sin aprovechar ninguna situación para un beneficio personal,
sin divulgar información de la organización o dar accesos a personas no autorizadas
por la empresa misma.
Finalmente, debe haber compañerismo, entendiendo que el personal estará en la
mejor disposición de ayudar a resolver situaciones negativas, problemas o bien
apoyar a los demás compañeros de trabajo, incluso a aquellos que no sean de su
misma área.
Estos conceptos debe darlos a conocer el director general de la organización a todo
el personal, mantenerlos visibles en las oficinas para que todos se familiaricen con
él, de modo que lleguen a ser parte de la cultura de la organización.
Cualquier tipo de plan, adopción de normas, políticas, etcétera, tienen éxito
solamente cuando son promovidos directamente por la dirección general. Entonces
los planes deberán ser del conocimiento de todos y realizar las auditorías para
mejorarlos y que cada uno asuma la responsabilidad asignada.
249
8.3. Elementos del plan de continuidad del negocio
La norma ISO 22301 nos da elementos para responder ante una contingencia y dar
continuidad al negocio. Los elementos del plan a tomarse en cuenta son:
1. Identificación de las amenazas. Se crea una lista de los incidentes que se hayan
manifestado para una organización en particular, donde haya un claro riesgo de que
se pueda interrumpir su actividad. También se consideran amenazas a otras
empresas que sean similares a la que se trata de proteger.
2. Análisis del impacto en la empresa. Se debe conocer muy bien a la organización
y sus partes críticas. En esta parte se detalla cada parte de la organización: el
personal, sus funciones, los procesos, los sistemas y todo lo que es crítico para su
buen funcionamiento. Después de esto, se determina cuánto tiempo puede
sobrevivir la organización sin que alguno de esos elementos provoque un impacto
catastrófico en caso de no estar presente.
3. Crear un plan de respuesta y recuperación. Se toman en cuenta los elementos
clave para la realización de las funciones críticas, tanto de infraestructura, recursos
humanos, sistemas, bienes, proveedores y clientes. Luego de esto, se debe
identificar quién puede resolver cada tipo de incidente, ponerlo al tanto de su
responsabilidad e incluso definir personas secundarias que puedan ayudar en la
recuperación.
Se deben poner en orden de importancia jerárquica las operaciones principales y si
dependen de más de un agente. Cuando el plan ya está desarrollado debe darse a
conocer a los tomadores de decisiones y, luego de afinarlo, a todo el personal.
4. Probar el plan y refinar el análisis. El plan debe auditarse al menos una vez al
año, tomando decisiones y haciendo los pasos definidos hasta lograr recuperar
250
primero la operación básica y luego dando normalidad a todas las funciones de la
organización. Estos ejercicios permiten encontrar fallas, datos desactualizados o
bien su mejora continua, así como la sensibilización de todo el personal de la
organización ante su importancia.
251
8.4. Eventos BCP/DRP
En el área de seguridad informática, por lo general, se contemplan dos tipos de
riesgos: los físicos y los lógicos, pero también deben tomarse en cuenta los
desastres naturales que pueden provocar que una organización detenga sus
operaciones.
Riesgos físicos internos
a. Fallas en el funcionamiento de los equipos.
b. Llenado de la memoria del sistema.
c. Acceso no autorizado a los equipos personales o a los servidores.
d. Fallas en la conexión a la red.
e. Renuncia de personal molesto con la organización.
f. Ingeniería social.
g. Acceso de gente no autorizada a las oficinas.
h. Incorrecta ubicación del site de una organización.
i. Interrupción del servicio de energía eléctrica.
Riesgos físicos externos
a. Poca protección de las personas e instalaciones contra desastres naturales.
b. Poca protección de las personas e instalaciones contra manifestaciones,
terrorismo, vandalismo, eventos políticos, financieros o sociales.
Riesgos lógicos
a. Suplantación de la identidad de personas o equipos (spoofing).
b. Ataques a servidores de la web.
c. Inyección de datos.
d. Spam.
e. Phishing.
252
f. Ataques con sniffers.
g. Instalación de keyloggers.
h. Ataques con analizador de puertos.
i. Virus informáticos.
j. Spyware.
k. Negación del servicio (DoS o DDoS).
l. Ransomware (hijacking).
m. Y los que vayan surgiendo
Desastres naturales
a. Sismos.
b. Terremotos.
c. Inundaciones.
d. Huracanes
e. Tsunamis.
f. Descargas eléctricas.
g. Incendios.
h. Erupciones volcánicas.
i. Epidemias.
j. Ciclones.
k. Olas de calor.
253
RESUMEN
Ante tantos sucesos negativos que pueden ocurrirle a una organización, lo mejor es
la prevención, pero, para esto, debemos conocer primero contra qué hay que
prevenirse y la forma en la que podemos lograrlo con las características y recursos
de una determinada organización, ya que obviamente no todas operan de la misma
manera, incluso aunque sean del mismo ramo.
Una vez que se identifican las particularidades de la organización, se debe iniciar la
elaboración del plan de prevención de contingencias; posteriormente, el plan de
corrección o continuidad del negocio y mantener la operación hasta que se
regularicen las condiciones en las que normalmente se trabaja.
Es una tarea ardua, ya que este trabajo para ciertas personas puede significar
tiempo perdido, ante la cantidad de cosas urgentes que deben atender en el día a
día; contar con estos planes puede marcar la diferencia entre seguir la operación a
futuro de la empresa o bien incurrir en gastos inesperados que a corto o mediano
plazo hagan inviable que la organización continúe siendo un negocio rentable y
sostenible, lo cual involucra la pérdida de trabajo para todos los empleados de los
distintos niveles.
La prevención es algo que por lo general las organizaciones no toman en cuenta,
pero al sensibilizar ante este tema a los directores de empresas y tomadores de
decisiones, por lo general terminan desarrollando lo necesario para asegurar su
negocio.
254
BIBLIOGRAFÍA DE LA UNIDAD
Bibliografía sugerida
Autor Capítulo Páginas
Baca, Gabriel 6.3 Determinación de parámetros
antes de elaborar los planes
246 -247
Gómez, Álvaro 9.2 Respuesta a incidentes de
seguridad y planes para la
continuidad del negocio
302
255
UNIDAD 9
LEGISLACIÓN, REGULACIONES,
CUMPLIMIENTO E INVESTIGACIÓN
OBJETIVO ESPECÍFICO
Al finalizar la unidad, el alumno tendrá los conocimientos necesarios de las normas
que regulan y protegen la seguridad de la información y las consecuencias de que
esta última sufra algún percance.
TEMARIO DETALLADO
(4 horas)
9. Legislación, regulaciones, cumplimiento e investigación
9.1. Ética
9.1.1. Código de ética (ISC)2
8.1.2. RFC 1087 - Internet Activity Board: "Ética y el internet"
9.2. Investigaciones
9.2.1. Evidencia
9.2.2. Procesos de investigación
9.2.3. Técnicas de interrogación
9.2.4. Confidencialidad interna y externa
9.2.5. Principales categorías de crímenes computacionales
9.3. Manejo de incidentes
9.4. Leyes
9.5. Licencias
9.5.1. Propiedad intelectual
9.5.2. Importación / exportación
9.5.3. Responsabilidad legal
9.5.4. Tráfico internacional de datos
257
9.6. Principales tipos de leyes
9.6.1. Ley criminal
9.6.2. Ley civil
258
INTRODUCCIÓN
Desde los inicios de la informática ha habido una preocupación por el robo de
programas, su utilización sin permiso y la reproducción y distribución ilícita de los
mismos. Ahora con el uso de Internet se tienen nuevos problemas relativos al
manejo de la información, su transmisión y almacenamiento en servidores, además
de la aparición de otros ataques como virus, malware, phishing, ransomware, entre
otros. Esto ahora se conoce como ciberdelincuencia y afecta desde diferentes
ángulos tanto a las empresas como a sus clientes. Las acciones de la delincuencia
informática han redundado en pérdidas millonarias, por lo que se ha tenido la
necesidad de regular las leyes para castigar a las personas que incurran en los
ataques.
En México las empresas casi no invierten en temas de seguridad, lo que hace muy
atacables sus sistemas, tanto en el sector público como en la iniciativa privada,
aunque ésta última tiene un gasto un poco mayor en la seguridad informática y es
la que, por lo general, demanda las regulaciones legales en esta materia.
El reto, actualmente, es proteger la propiedad intelectual, las transacciones
realizadas por comercio electrónico, las comunicaciones, la infraestructura
tecnológica, la privacidad de los datos, entre otras muchas situaciones relacionadas
con la seguridad de la información, así como a las personas y sus bienes.
259
9.1. Ética
La ética en la seguridad informática es lo que le hará saber a un auditor de
seguridad, de acuerdo con sus conocimientos y experiencia, qué acciones están
bien o mal, qué es peligroso y qué no, o bien, qué es legal o ilegal.
En la jerga de la seguridad se habla mucho de hackers en general, pero hay que
definirlos correctamente, ya que hay varios tipos: hackers éticos, crackers, hacker
de sombrero gris, negro o blanco. El término “hacker ético” define a un auditor de
seguridad que no hará daño en los sistemas o la infraestructura tecnológica que
audita, por el contrario, los evaluará y hará recomendaciones para mejorar la
seguridad de acuerdo con los problemas que haya encontrado.
La ética también se refiere a la forma de conducirse de una persona dentro de una
organización, ya que a pesar de que se le otorguen ciertos permisos dentro de los
sistemas, podrá hacer un uso adecuado y esperado de los mismos, sin dañarlos o
utilizarlos para un beneficio propio, en vez del de la empresa.
9.1.1. Código de ética (ISC)2
El ISC2 (por sus siglas en inglés Information Systems Security Certification
Consortium o Consorcio internacional de Certificación de Seguridad de Sistemas de
Información), es una organización que capacita y certifica a profesionales de
seguridad en informática.
Quienes estudian para esta certificación se comprometen a apoyar el código de
ética, con la política de que quien no lo lleve a cabo, quedará a disposición de las
acciones que decida el comité de certificación, pudiendo tener la más grave
amonestación, que es la revocación de la certificación.
260
Existen cuatro principios obligatorios en su código de ética, los cuales son:
Proteger a la sociedad, el bien común, la confianza pública y la
infraestructura.
Actuar de manera honrosa, honesta, justa, responsable y legal.
Proporcionar un servicio diligente y competente a los directores.
Avanzar y proteger la profesión. (ISC, 2019)
Ante esto, podemos observar que un profesional puede contar con conocimientos
para revisar las vulnerabilidades o riesgos que tiene un sistema, pero nunca se
aprovechará de ellos para hacer daño; se conducirá por la vía de la legalidad y
proporcionará recomendaciones para proteger los sistemas de los problemas que
haya encontrado. Todo esto es lo que por lo general hace un hacker ético (ethical
hacker) o también conocido como hacker de sombrero blanco.
Todos los profesionales de seguridad de la información que están certificados por
(ISC)² reconocen que dicha certificación es un privilegio que debe obtenerse y
mantenerse. Como regla, todos los miembros de (ISC)² deben comprometerse a
apoyar plenamente su código de ética, y está establecido que quienes violen
cualquier disposición del código estarán sujetos a la acción de un panel de revisión
por pares, que podrá derivar en la revocación de la certificación.
Los miembros de (ISC) están obligados a seguir el procedimiento de quejas de ética
al observar cualquier acción realizada por un miembro de (ISC)² que infrinja el
código, y no hacerlo también es una infracción al código.
Código de ética preámbulo:
261
La seguridad y el bienestar de la sociedad y el bien común, el deber para con
nuestros directores y con los demás, requiere que nos adhiramos y veamos
que los demás se adhieran a los más altos estándares éticos de
comportamiento.
Por lo tanto, el cumplimiento estricto de este Código es una condición para
la certificación.
Código de ética de los cánones:
Proteger a la sociedad, el bien común, la necesaria confianza pública, y la
infraestructura.
Actuar de manera honrosa, honesta, justa, responsable y legal.
Proporcionar un servicio diligente y competente a los directores.
Avanzar y proteger la profesión. (ISC, 2019)
9.1.2. RFC 1087 - Internet Activity Board: "Ética y el Internet" En 1989, el Internet Architecture Board (IAB por sus siglas en inglés o Junta de
Arquitectura de Internet) emitió una política denominada RFC 1087 (Network
Working Group, 1989), que trata sobre Internet y su uso ético; de esto también se
comenta en el libro Official (ISC)2 Guide to the CISSP CBK, y quedan definidas como
actividades poco éticas e inadmisibles, las siguientes:
262
Figura 9.1. Actividades que son consideradas como “poco éticas” e inadmisibles.
Si incurrimos en cualquiera de ellas, de forma consciente y premeditada,
estaremos comportándonos de forma no ética e inadmisible.
Obtener acceso no autorizado a los recursos de Internet.
Interrumpir el uso de Internet.
Desperdiciar recursos (gente capacidad o computadoras) a través de esas acciones.
Destruir la integridad de la información basada en computadora.
Comprometer la privacidad de los usuarios.
263
9.2. Investigaciones
Cuando se comete un delito informático se deben tener políticas para responder
ante el hecho, así como un equipo de respuesta que pueda investigar qué sucedió,
el impacto y proponer soluciones a corto, mediano y largo plazo.
La realidad es que ante el impacto que se ha tenido en este campo en los últimos
años, se ha visto la necesidad de tener una rama en el tema de la seguridad,
llamada informática forense, que es la encargada de analizar información acerca de
la intrusión, revisar el tipo de ataque, dónde se originó, si se pueden encontrar a los
responsables, aportar pruebas, y en su caso, trabajar con la policía para resolver el
delito y tomar las acciones legales que correspondan. Como a algunos ataques les
corresponden acciones legales en contra de los perpetradores, los afectados
pueden iniciar una demanda.
Hay una metodología forense que propone Baca (2016, p. 272) en donde sigue el
método científico para realizar las investigaciones:
264
Figura 9.2. Método científico para realizar las investigaciones forenses.
Sigamos un ejemplo en donde se efectúen estos seis pasos:
a. El área de informática de una empresa detecta que algunas cuentas
de sus colaboradores han sido robadas.
b. El área de informática junto con el equipo de seguridad hacen una
revisión rápida de sus controles y no logran detectar intrusiones en la
red, servidores o base de datos: todo parece normal, por lo que supone
que los colaboradores han sido engañados a través de correos usando
phishing.
c. El área de seguridad inicia una investigación forense con la ayuda del
área de informática y los colaboradores que presentaron el problema
en sus cuentas, obteniendo todos los datos posibles de la forma en la
que manejan sus cuentas, las acciones que hizo cada uno.
d. Como en la hipótesis se tiene previsto que pudo haberse tratado de
phishing, realizan una búsqueda en los correos y el historial de
navegación, para verificar las acciones que los usuarios realizaron.
1. Identificar el problema que se pretende resolver.
2. Planteamiento de una hipótesis
3. Búsqueda de fuentes de información
4. Diseño de un procedimiento para verificar la hipótesis.
5. Análisis de los datos recabados.
6. Presentación de resultados.
265
Buscan toda la información dentro de las bitácoras del sistema
operativo de los usuarios, así como de los sitios sospechosos que
puedan recabarse de los equipos de telecomunicaciones.
e. El equipo de seguridad debe revisar toda la información recabada y
analizar qué es lo que sirve, lo que no y lo que puede servir como
prueba para tomar acciones legales.
f. El equipo de seguridad presenta los resultados de la investigación,
respaldados por las pruebas obtenidas en la investigación, para que a
partir de ellos se corrobore o no la hipótesis, y se deslinden
responsabilidades, o bien se tomen acciones legales.
El ataque informático puede o no desencadenar acciones legales, por lo que pueden
presentarse cuatro escenarios:
Figura 9.3. Acciones legales que puede desencadenarse por un ataque informático.
1• Identificar al culpable del ataque y tomar acciones legales.
2• Identificar a la persona inocente y tomar acciones legales.
3
• Identificar al culpable, pero sin posibilidad de ejercer una acción legal en contra de la persona, por falta de pruebas.
4
• Identificar y detener las acciones legales que se hayan ejercido contra una persona inocente.
266
Si el delito es merecedor de una acción legal, la empresa puede decidir ejercerla de
forma pública o privada, aunque éticamente lo mejor es que cuando se involucran
los datos de terceros, se deberá hacer público que fueron objeto de un delito
informático para que los afectados puedan tomar acción preventiva o correctiva; por
ejemplo, si una empresa conoce por medio de una investigación que le fueron
robados cuentas de usuario, debería darlo a conocer en breve a sus usuarios para
que ellos puedan cambiar sus contraseñas y reduzcan la posibilidad de un ataque
exitoso a su información.
267
9.2.1. Evidencia
Gómez (2011, p. 314) define evidencia como aquella información que podrá ser
capturada y analizada posteriormente para interpretar de la forma más exacta
posible en qué ha consistido el incidente de seguridad, qué daños ha provocado,
cuáles son sus consecuencias y quién pudo ser el responsable.
Cuando se tiene la posibilidad de ejercer una acción legal ante un delito informático,
la recolección de evidencia debe realizarse a través de protocolos perfectamente
definidos que tengan un carácter probatorio conforme a la ley del país / ciudad en
donde se llevará a cabo la demanda. Estos protocolos se conocen como la cadena
de custodia, que es un procedimiento establecido y controlado para recabar,
conservar y entregar todas las pruebas y que se les valore como tales, de forma
que no haya dudas de si han sido alteradas, fabricadas o que de alguna forma
marquen una cierta tendencia, a interés de quienes realizaron la recolección.
Ante lo anterior, vemos que no es sólo cuestión de encontrar pruebas del ataque,
es necesario que la prueba se conserve y no se altere, de lo contrario no se podrá
utilizar como una evidencia confiable y la posibilidad de llevar a cabo sanciones
legales para resarcir el daño es remota.
El tratamiento que se da a las evidencias es el mismo que el que se sigue en la
búsqueda de evidencias cuando se comete un delito que no es informático, con la
singularidad de que a veces las evidencias digitales pueden llegar a ser volátiles,
pueden desaparecer o eliminarse si se cuenta con los conocimientos para hacerlo
de forma intencional, o bien no poseer los conocimientos necesarios para
conservarlos.
268
Es necesario también contar con procedimientos de preservación de las evidencias
digitales, las cuales se pueden definir siguiendo las recomendaciones de la OAS2
2 Por sus siglas en Inglés Organization of American States u Organización de los Estados Americanos, que están plasmadas en el documento "Best practices for computer forensics" Recuperdo el 13 de febrero de 2019 de https://www.oas.org/juridico/spanish/cyb_best_pract.pdf
269
9.2.2. Procesos de investigación
Un auditor en seguridad es una persona con conocimientos extensos y variados en
el campo de la informática. Para hacer una investigación forense, por lo general, se
requiere del apoyo de un equipo de especialistas, no solamente en el campo de la
informática sino en otras áreas, como la legal, entre otras.
Como puede suceder que la investigación derive en acciones legales, labor de
mucha responsabilidad, los protocolos que se utilicen deben realizarse con mucha
rigurosidad y precisión.
Antes de comenzar cualquier investigación, es obligatorio conocer la ley del lugar
en donde se realiza la auditoría forense y las políticas de la empresa en cuestión
legal, para saber cómo debe ser recabadas las pruebas para asegurar que en ese
lugar se pueden realizar los procedimientos que hagan que la evidencia recolectada
se reconozca como tal.
Esto se toma en cuenta desde el inicio de la investigación, cuando se protege la
escena, se realiza la recolección, se efectúe el embalaje, o bien, se proceda a hacer
el almacenamiento de datos digitales, se transporten, se analicen, se preserven
hasta el momento de mostrarlos, se recuperen y se tenga plena disponibilidad de
los mismos para su presentación ante las autoridades competentes, y que lleven a
la identificación del o los responsables.
270
Baca (2016, p. 274) explica que la informática forense se basa en cuatro principios:
Figura 9.4. Principios de la informática forense.
Uno de los mayores retos es que, con los conocimientos adecuados, este tipo de
pruebas podrían ser alteradas en el proceso de cadena de custodia, para proteger
a los verdaderos culpables del incidente.
Esto ha llevado a que, en algunos lugares, las autoridades prefieran que las
empresas sean las que adopten medidas de seguridad para defenderse desde la
prevención, tomando en cuenta desde las fugas de información hasta los ataques,
pero este tipo de medidas no son realistas debido al rápido avance que se tiene en
cuanto a los diferentes medios de protección y su pronta caducidad debido a que la
delincuencia avanza tan rápido como las nuevas protecciones que salen al
mercado.
1. Toda investigación debe apegarse a estándares legales.
2. Todo investigador o equipo de investigación en informática forense debe tener una preparación rigurosa en técnicas forenses.
3. La investigación debe basarse sólo en técnicas forenses internacionalmente aceptadas.
4. Las técnicas para reunir evidencias y revisar el contenido de equipos de cómputo, personales o de una red privada, siempre deben llevarse a cabo con un permiso escrito de los interesados.
271
También hay una extensa variedad tanto de software como hardware que le ayudan
al auditor forense en sus investigaciones, permitiendo la extracción de datos de
forma forense. Esto es particularmente útil cuando se trata de dispositivos móviles
como tabletas y smartphones, que son muy utilizados en diferentes tipos de delitos,
no solamente en los informáticos.
Toda herramienta y procedimiento que utilice el equipo auditor de seguridad deberá
estar documentada y ser reproducible por algún par; y si bien podrán obtener
diferencias en los resultados, esto podrá ser aceptable con un cierto margen.
9.2.3. Técnicas de interrogación
Cuando se realiza una investigación podría ser necesario en algún punto realizar
una interrogación a ciertas personas que puedan ser clave para esclarecer cómo se
produjo el delito.
Antes del interrogatorio se debe tener preparada información respecto de lo que se
lleva descubierto al momento, así como el objetivo de hacer el interrogatorio. Se
deben preparar preguntas adecuadas al nivel de los interrogados, de forma que
puedan entender lo que se les pregunta sin necesidad de explicaciones demasiado
técnicas.
Las preguntas pueden prepararse para que se contesten de forma sencilla
(verdadero o falso) o bien que se proporcione una explicación más detallada
(preguntas abiertas). Las que deben evitarse son las que en la misma pregunta se
sugiera una respuesta, que demanden un alto nivel de atención a detalles, las
coercitivas o las poco claras. Se debe evitar todo tipo de improvisación y planificar
meticulosamente de inicio a fin, incluyendo el mejor momento y lugar donde deba
realizarse la interrogación, como parte de la misma estrategia de la auditoría.
272
También se deberá contemplar qué estrategia se seguirá, dependiendo del tipo de
persona a interrogar, dado que no es lo mismo interrogar a menores de edad,
jóvenes, adultos mayores o bien personas de bajo coeficiente intelectual.
9.2.4. Confidencialidad interna y externa La investigación que se realice puede ser interna, es decir, la realiza el mismo
equipo responsable de la seguridad de la empresa, o bien la puede hacer un
consultor o empresa externa que sea contratada específicamente para esa tarea.
En cualquiera de los dos casos, la investigación deberá realizarse conforme a lo
que las políticas y recomendaciones de la seguridad informática apliquen para ese
momento.
Cuando se hace una investigación interna, se presume que la persona o el equipo
conoce las políticas internas de la empresa y que su contrato le obliga a conducirse
de forma ética y confidencial; no debe revelar avances en la investigación, hipótesis,
teorías ni la conclusión a la que llegue después del tiempo que le lleve su trabajo.
En el caso de una investigación externa, antes de que comience cualquier tipo de
acción, se debe firmar un contrato en donde se especifique lo que se espera de esa
auditoría: cómo deben tratarse los datos, a quién se le proporcionarán, los alcances
de las pruebas que podrán realizar, cuál será la forma de contacto de esa
persona/empresa auditora, así como todos los documentos que se espera
entreguen al final, y quienes podrán ser los que reciban esa información por parte
de la empresa contratante, así como el medio de entrega. Aparte, el contrato
también deberá observar acciones legales en caso de que alguna de las partes falte
a algún punto de la confidencialidad que se está protegiendo.
Cuando un auditor hace una investigación, deberá al final proporcionar un reporte,
incluyendo los datos y resultados de su investigación, las recomendaciones, si
273
propone modificaciones a las políticas para incrementar la seguridad de las
personas, la infraestructura y la información, qué ha desatado la investigación, la
forma en la que se produjo el hecho, cómo puede evitarse eso mismo en el futuro y
si hay secuelas que deban atenderse en el corto, mediano o largo plazo.
Una vez que se siguen las recomendaciones, resultado de auditoría, deberá darse
un plazo para realizar una nueva investigación, en donde se verifique que ya se han
resuelto los problemas que hayan salido a la luz en la primera ocasión, dándole un
seguimiento periódico.
Por lo general, se recomienda que se consumen tanto auditorías internas como
externas, pero en el caso de las empresas que no cuentan con un área
especializada en seguridad (algo desafortunadamente común), entonces se
recomienda que no se le deje esta labor al área de informática y se contrate una
empresa que realice las auditorías de seguridad, o bien las investigaciones forenses
que correspondan.
9.2.5. Principales categorías de crímenes computacionales
En el año de 2001 el Consejo de Europa aprobó el “Convenio sobre la
Ciberdelincuencia”3, al cual se han adherido más de 50 países, en él se definen
terminologías relacionadas con el tema de la seguridad informática. También se
hace una clasificación de cuatro tipos de delitos informáticos:
Delitos relacionados con el contenido:
Calumnias, contenidos racistas, amenazas, calumnias, pornografía infantil.
3 Si deseas profundizar sobre este convenio, consulta el siguiente documento disponible en: https://www.oas.org/juridico/english/cyb_pry_convenio.pdf Recuperado el 13 de febrero de 2019.
274
Delitos que tienen a la tecnología como fin: atentan contra la confidencialidad,
integridad y disponibilidad de datos y sistemas informáticos:
Acceso ilícito a sistemas informáticos, uso no autorizado de equipos
informáticos, intercepción ilícita de datos, distribución de virus o malware.
Delitos que tienen a la tecnología como medio:
Falsificación de datos informáticos a causa de su alteración borrado o
supresión, que desencadenen fraudes, estafas o publicación de información
obtenida por medios ilícitos.
Delitos relacionados con infracciones de la propiedad intelectual y derechos
de autor:
Distribución de copias ilegales de canciones, videos o software.
Otro punto que abarca este convenio son las normas procesales, que son
procedimientos y herramientas que se utilizan para salvaguardar la evidencia digital
de una investigación.
Finalmente, se tratan las normas de cooperación internacional, donde se indica lo
que concierne a la investigación de un delito, digital o no, que involucre evidencia
digital. En este apartado incluso se trata de casos en los que se requiera la
extradición de los presuntos culpables.
En enero de 2003 se promulgó el “Protocolo Adicional al Convenio de
Ciberdelincuencia del Consejo de Europa” que incluye medidas en casos de:
Difusión de material xenófobo o racista.
Insultos o amenazas con motivación racista o xenófoba.
Negociación, minimización burda, aprobación o justificación del genocidio o
de crímenes contra la humanidad.
275
9.3. Manejo de incidentes
Como hace referencia Gómez (2011, p. 164) en la norma ISO/IEC 27002 se
describen 39 objetivos de control y 133 controles referentes a la seguridad de la
información, agrupados en 11 dominios. Uno de ellos es la gestión de incidentes,
que toma en cuenta dos situaciones que deben estar presentes en las empresas:
Figura 9.5. Situaciones de las empresas.
Cada empresa debe llevar un registro de todos los incidentes de seguridad que se
han presentado, cómo los han solucionado, quién ha participado en el proceso y
cómo dan seguimiento para evitar que se produzca nuevamente ese incidente.
Debe contener la mayor cantidad de datos posible, ya que esta información puede
ser útil en el futuro, sobre todo porque en algunas empresas el personal rota
demasiado, así que si se tiene documentado algo que resolvió una persona que no
labora más en la empresa pero dejó documentada la solución, será más sencillo
atender de forma más eficiente el incidente, y esto nos lleva al segundo punto, que
se debe tener un sistema de gestión de incidentes confiable y actualizado, de forma
que sea sencillo poder consultar todos los incidentes, obtener estadísticas por tipo
de incidente, fechas, entre otros datos que se almacenen.
Informe de incidentes y debilidades de seguridad de la información.
Gestión de incidentes de seguridad de la información y mejoras.
276
9.4. Leyes
Las leyes son un tema en movimiento constante, ya que ante nuevas situaciones
que se van presentando en el área de las tecnologías de la información (TI), se tiene
necesidad de regularlas y, en su caso, aplicar sanciones a los infractores.
Los autores Baca, Solares y Acosta (2014, p. 35) mencionan en el libro
Administración Informática I algunas leyes que se aplican en México, pero
encontramos más fácilmente la legislación y sus actualizaciones en sitios web y en
algunos artículos, como el del sitio de IT Business Solutions4 donde se mencionan
las siguientes leyes a considerar en México:
Ley Federal del Trabajo con respecto a la evidencia electrónica.
Ley Federal de Protección de Datos Personales en Posesión de los
Particulares (LFPDPPP) y sus medidas técnicas, físicas y administrativas.
Ley Federal para la prevención e identificación de operaciones con recursos
de procedencia ilícita y sus lineamientos de integridad de información.
Ley Federal del Derecho de Autor.
Artículos 424 al 429 del Código Penal Federal en lo que respecta a derechos
de autor.
Ley de Propiedad Industrial.
Ley Federal de Protección al Consumidor en el comercio electrónico.
Código de comercio, en lo referente al comercio electrónico.
Norma Oficial NOM 151-SCFI 2016, requisitos que deben observarse para la
conservación de mensajes de datos y digitalización de documentos.
Leyes de Protección de Datos de los Estados Unidos Mexicanos.
4 Itbusiness-solutions.com.mx (s/f) Consultado el 13 de febrero de 2019 de https://www.itbusiness-solutions.com.mx/regulaciones-seguridad-informatica.
277
Artículo 6 Constitución Política de los Estados Unidos Mexicanos, con
respecto al derecho de la información.
Ley de Gobierno Electrónico de la Ciudad de México.
Ley Federal de Telecomunicaciones y Radiodifusión.
Artículos 166 bis, 167, 168 bis, 173 al 177 del Código Penal Federal en lo
que respecta a ataques a las vías de comunicación y violación de
correspondencia.
Artículos 210 y 211 del Código Penal Federal en lo que respecta a ataques
a la revelación de secretos.
Artículos 211 bis 1 al 211 bis 7 del Código Penal Federal en lo que respecta
a sistemas y equipos de informática.
Es importante conocerlas, ya que las políticas internas de las empresas deben ser
escritas acordes a ellas, por lo que el área legal debe actualizarse en cada adición
legal que se haga a una ley federal, al código penal y otras leyes que contemplan
los medios digitales.
278
9.5. Licencias
A medida que se desarrolla el campo de la informática, se ha tenido que legislar en
cuanto al uso de los recursos. Por ejemplo, cuando compramos un software,
estamos autorizados a tener una copia del mismo, y éste se encuentra licenciado
para poder identificarlo entre las distintas copias que ha distribuido el autor, lo que
le da al usuario el permiso del autor para usarlo, pero no para reproducirlo y menos
distribuirlo. Cada tipo de licencia especifica qué tipo de uso se le puede dar a la
obra.
Ahora que es más rara la instalación del software, debido al uso del cómputo en la
nube (cloud computing), se han contemplado otros tipos de licencias, pero el hecho
de utilizar software sin el permiso del autor se sigue conociendo comúnmente como
“piratería”.
9.5.1. Propiedad intelectual
Tal como se puede consultar en la página del gobierno de México referente a la
Propiedad Intelectual5, ésta se refiere a dos conceptos: los Derechos de Autor, que
es un reconocimiento que hace el Estado a los creadores de obras de diferentes
clases (literarias, musicales, artísticas, entre otras); y la Propiedad Industrial, que
contempla la protección de invenciones nuevas (patentes, marcas, diseños
industriales, entre otros).
Para que un trabajo quede protegido por derechos de autor debe cumplir tres
requisitos:
5 Secretaría de Economía. (13 de mayo de 2016). La Propiedad Industrial en México. Consultado el 13 de febrero de 2019 de https://www.gob.mx/se/articulos/la-propiedad-industrial-en-mexico.
279
Figura 9.6. Requisitos para protección de derechos de autor.
Cuando un trabajo cumple con los tres requisitos, el autor puede reservarse los
siguientes derechos exclusivos:
1. Reproducir su trabajo o hacer copias de éste.
2. Distribuir su trabajo al público.
3. Modificar la obra o hacer obras derivadas.
4. Ejecutar la pieza u obra ante un público o exhibirla.
Si alguien diferente al autor realiza cualquiera de estas acciones con una obra
protegida y sin el permiso explícito del autor, se considera que viola sus derechos
de autor.
Esto aplica para videos, imágenes y diferentes recursos o información que podemos
encontrar en Internet o en medios digitales, pero que no por encontrarlos ahí, implica
que podamos utilizarla libremente.
Ser un trabajo original
No debe ser copiado o derivado de otro trabajo
Debe ser algo creativo y plasmarse en algún medio (papel, audio, video, digital, entre otros).
280
9.5.2. Importación / exportación
El software y las obras digitales se consideran un bien intangible, y cuando
utilizamos software que ha sido creado en otros países, o bien queremos exportar
uno propio a otros países, se deben cumplir las leyes de importación / exportación
que apliquen en el momento de realizar la operación.
Utilizando Internet para realizar el pago por medio de comercio electrónico y usando
un servidor de descarga como un medio de distribución, es probable que el software
o la obra no tenga que enviarse físicamente al lugar de compra, o bien el comprador
podría conectarse desde un lugar remoto a un servidor en la nube y desde ahí
utilizar el programa.
Se pueden tener distintas configuraciones, pero por lo general a cambio del pago
se otorga un licenciamiento que deberá cumplir con algunos términos y condiciones;
estas licencias no se catalogan como bienes, bajo las leyes fiscales de algunos
países, por lo que no son catalogados como bienes de importación, pero si generan
retención de impuestos locales, y al tratarse de la importación de programas,
también debe consultarse si en el país se puede realizar la deducción de impuestos
que genera esa compra.
9.5.3. Responsabilidad legal
Cuando se inicia una relación proveedor-cliente, mediante la cual se le otorga un
licenciamiento al cliente, se deben contemplar las acciones legales que se deriven
de algún tipo de mal uso de la licencia otorgada o bien que por el lado del proveedor
se compruebe que la obra que se ha vendido no cumple con las características
prometidas y que sean responsabilidad del autor (defectos en la programación,
fallas en el funcionamiento, agujeros de seguridad, entre otros).
281
Esto va directamente relacionado con las consecuencias que puedan derivarse del
problema que presente la obra y el impacto que le genere al cliente.
Hay algunos casos en los que se pueden llegar a presentar inconsistencias en el
uso de la obra, pero se puede llegar a demostrar que es una cuestión que no es
responsabilidad del autor, como por ejemplo errores en la configuración del
software, fallas en la energía eléctrica, fallas en el equipo de telecomunicaciones o
bien en los equipos de cómputo en donde se ejecuta.
En cualquier caso, el proveedor deberá otorgar la licencia e incluir una garantía de
buen funcionamiento, y en su caso, qué tipo de indemnización puede otorgar ante
diferentes escenarios.
9.5.4. Tráfico internacional de datos
Hoy es muy común que hagamos transacciones, y no solamente en nuestro país de
residencia, sino que podemos encontrar oferta de productos en otros países que
pueden enviarlos al nuestro. Por ejemplo, empresas como Amazon o AliExpress
hacen transmisión de datos por medio de servicios de comercio electrónico, con los
cuales pueden distribuir millones de productos entre diferentes países.
La privacidad y la protección de datos personales es de vital importancia cuando se
utilizan estos servicios, ya que se manejan datos personales y financieros de los
usuarios, los que son considerados críticos.
También puede ser que los usuarios no necesariamente vayan a hacer una
transacción bancaria, y que simplemente lean un sitio web, pero ahora es muy
frecuente ver sitios que nos advierten que hacen uso de cookies, y que si queremos
seguir navegando debemos aceptar que el sitio guarde información de la
navegación.
282
Parece inofensivo, pero por lo general los usuarios no saben para qué sirve esa
información que se está almacenando de ellos, y luego tenemos sorpresas como la
que resultó de la compañía llamada Cambridge Analytica, la cual realizaba minería
de datos y análisis de datos para marcar tendencias, sobre todo políticas, pero que
también resultan muy útiles para que las empresas sepan qué tipo de productos o
servicios son populares en este preciso momento entre usuarios globales.
Otro ejemplo es la situación que se presentó con la empresa Facebook, cuando se
denunció que se explotaba la información de los usuarios, con fines de creación de
tendencias políticas y comerciales.
También se deben tomar en cuenta los contratos internacionales que se firman, por
ejemplo, con proveedores de espacio en la nube, ya que a veces su precio es muy
razonable para tener con ellos el alojamiento de sitios Web o sistemas en la nube,
pero al leer el contrato, se estipula que, al utilizar su servicio, los datos pasan a ser
propiedad de esa empresa, lo cual afecta gravemente las garantías de los usuarios
que tiene la empresa contratante.
283
9.6. Principales tipos de leyes
Las leyes se han tenido que ir actualizando constantemente con respecto a temas
informáticos, ya que se van presentando en poco tiempo nuevas formas de delitos
informáticos que antes no existían.
Los expertos en Derecho han visto la necesidad de actualizar regularmente la
legislación y hacer una redacción muy precisa y particular para los casos que se
presentan actualmente, por ejemplo, en específico lo que tiene que ver con delitos
en donde se utiliza el phishing o el ransomware, o bien lo que tiene que ver con el
robo de información, o la falta de protección de datos privados.
Hay delitos que reconocen las leyes internacionales, pero en otros casos, se tiene
que revisar la legislación federal y la local para ver si un delito en particular puede
ser sancionado o no, y qué tipo de castigo alcanzaría.
9.6.1. Ley criminal La ley criminal regula la capacidad punitiva del Estado, mediante medidas de
seguridad y penas, que al aplicarse derivan en una restricción a los derechos del
responsable.
Su propósito es mantener la estabilidad del Estado y la sociedad; con las penas se
castiga de forma oportuna a los transgresores y mediante las medidas de seguridad
se previene con el ejemplo.
Cuando existe una causa penal, el delito debe comprobarse de forma más estricta
y sin dejar lugar a dudas, lo cual por lo general se hace a través de un juicio, donde
284
el papel del jurado es tomar una decisión unánime antes de dictar una sentencia al
acusado.
En los casos de una ley penal, el Estado asigna un abogado al acusado, en caso
de que no pueda contratar a uno.
9.6.2. Ley civil
La ley civil por definición se encarga de regular los conflictos entre particulares
respecto de sus deberes y responsabilidades legales.
Su objetivo es mediar en las disputas entre particulares, organizaciones o
individuos, y por lo general la resolución indica el pago de una indemnización para
la persona agraviada.
Las causas civiles se comprueban mediante prueba menos estrictas que las
penales, dado que la responsabilidad civil es considerada menos reprochable y
debido a que las sanciones son menos graves.
El acusado puede ser encontrado culpable o inocente, lo cual le corresponde a un
juez decidir. Las causas civiles permiten jurados en algunos casos, pero en la
mayoría de los casos decidirá un juez.
En los casos de una ley penal, el Estado no asigna un abogado al acusado, por lo
que debe contratar uno para que lleve su caso.
285
RESUMEN
Hay leyes internacionales que protegen los sistemas, infraestructura, datos y
privacidad de éstos, pero en cada país se tiene un avance distinto en esta materia.
Por lo general, se busca proteger la propiedad intelectual, la privacidad, integridad
y disponibilidad de los datos, infraestructura y los sistemas.
Cuando una nueva ley se publica, las empresas deben actualizar sus políticas y
normas de seguridad, así como las acciones que correspondan al incumplimiento
de las mismas, redactándolas de forma cuidadosa, precisa y clara, y deberán
aplicarse para todo el personal por igual, ya que, de no hacerlo, los colaboradores
no las tomarán en serio y eso propiciará un ambiente caótico, que es justo lo
contrario de lo que se busca.
Lo más recomendable dentro de una empresa es contar con un área legal que
pueda hacer recomendaciones ante situaciones de ataques o delitos informáticos,
dependiendo de la magnitud de los mismos, para que pueda ejercerse una acción
legal en los casos que lo ameriten.
Para poder aplicar cualquier sanción deberá siempre haber pruebas, pero la
evidencia digital puede ser volátil y desaparecer rápidamente, o bien puede
alterarse, por lo que la investigación y recolección de las pruebas debe ser un
proceso ágil y preciso, siguiendo una cadena de custodia para que la prueba sea
válida ante la ley.
286
BIBLIOGRAFÍA DE LA UNIDAD
Bibliografía sugerida
Autor Capítulo Páginas
Baca 6. Las contingencias en
seguridad informática e
informática forense
272 - 279
Gómez 4. Estandarización y certificación
en seguridad informática
159 - 167
Gómez 9.5 Informática forense 314 – 319
Gómez 25.1 Delitos informáticos 665 - 668
Baca, Solares, Acosta 1. Seguridad informática 33 - 36
287
REFERENCIAS BIBLIOGRÁFICAS
Bibliografía sugerida
Aguilera, P. (2010). Seguridad informática. Madrid: Editex.
Alegre Ramos María Del Pilar, et al. (2011). Seguridad informática. Madrid: Paraninfo.
Baca; Gabriel. (2016). Introducción a la seguridad informática. México: Patria.
Baca Gabriel; Solares Pedro; Acosta, Elizabeth. (2014). Administración Informática I:
Análisis y evaluación de tecnologías de información. México: Grupo Editorial
Patria.
Calder, A. y. (2010). Information Risk Management for ISO27001/ISO27002.
Cambridgeshire: IT Gobernance Publishing.
CISSP Certification All-in-One Exam Guide, Fourth Edition.
CISSP: Certified Information Systems Security Professional Study Guide, 9780470276884
(0470276886), Sybex, 2008.
Corrales, Alberto; Beltrán Marta; Guzmán, Antonio (2006). Diseño e implantación de
arquitecturas informáticas seguras. Una aproximación práctica. Madrid: Librería-
Editorial Dykinson.
Gallardo; Gabriel, (2016). Seguridad en bases de datos y aplicaciones web (2ª ed.). Madrid:
Edición, Vigo, IT Campus Academy.
288
García-Cervigón; Alegre (2011). Seguridad informática. México: Paraninfo.
Gómez, Á. (2011). Enciclopedia de la seguridad informática (2a. ed.). Madrid: RA-MA.
ISECOM, Manual de la metodología abierta de comprobación de la seguridad (OSSTMM,
Open Source Security Testing Methodology Manual).
Marco, María; Marco, Josep (2010). Escaneando la informática. Barcelona: Editorial UOC.
Ramos, Benjamín (2004). Avances en criptología y seguridad de la información. Madrid:
Díaz de Santos.
Singh, Simón (2000). Los códigos secretos. Madrid: Debate.
Stallings, William (2003). Fundamentos de seguridad en redes: aplicaciones y estándares.
Madrid: Pearson Educación.
Stallings, William (2004). Fundamentos de seguridad en redes: aplicaciones y estándares
(2ª ed.). Madrid: Pearson/Prentice Hall.
Tanenbaum, Andrew (2003). Sistemas operativos modernos. México: Pearson
Educación.
Vaca, John (2014). Managing Information Security, Massachusetts: Elsevier
von Solms, S.H., von Solms R. (2009). Information Security Governance. New York:
Springer.
289
Bibliografía básica
Acissi. (2015). Seguridad informática: Ethical Hacking, conocer el ataque para una mejor
defensa. España: ENI ediciones.
Costas, J. (2011). Seguridad informática. Colombia: Ediciones de la U / Ra-Ma.
Costas, J. (2014). Seguridad informática. España: Ra-Ma.
Dordoigne, J. (2015). Redes informáticas: Nociones fundamentales (protocolos,
arquitecturas, redes inalámbricas, virtualización, seguridad, IP v6). España: ENI
ediciones.
Gómez, A. (2011). Seguridad informática básica. Bogotá: Ecoe Ediciones.
Gómez, Á. (2014). Auditoría de seguridad informática. España: Starbook.
Gómez, A. (2014). Enciclopedia de la seguridad informática. España: Ra-Ma.
Roa, J. F. (2013). Seguridad informática. Madrid: McGraw-Hill.
Sanders, C., & Smith, J. (2014). Applied network security monitoring: collection,
detection, and analysis. Países Bajos: Syngress.
Katz, M. (2013). Redes y seguridad. México: Alfaomega.
290
Bibliografía complementaría
Costas, J. (2014). Mantenimiento de la seguridad en sistemas informáticos. España:
Starbook.
Dulaney, E. A., & Pinilla, M. J. (2011). Seguridad informática CompTIA Security+. España:
Anaya Multimedia.
Gómez, A. (2014). Gestión de incidentes de seguridad informática. España: Starbook.
Gómez, Á. (2014). Seguridad en equipos informáticos. España: Starbook.
Martos, M. C. (2010). Investigación sobre seguridad informática: delitos informáticos,
hackers, crackers y noticias relacionadas en la actualidad. España: Procompal.
Peña, R., & Cuartero, F. (2013). Curso completo de informática: sistemas operativos,
aplicaciones ofimáticas, internet, multimedia, seguridad: niveles básico y medio.
México: Alfaomega.
291
Otras fuentes de consulta
Aguilera, (2011). Control de acceso en el entorno físico (Seguridad informática). Madrid:
Editex.
Areitio Bertolí J. (2008). Seguridad de la información. Redes, informática y sistemas de
información. Madrid: PARANINFO.
Chicano, Ester. (2015). Auditoría de seguridad informática. Málaga: IC Editorial.
Clarke Justin (2012) SQL. Injection Attacks and Defense. Amsterdam: Syngress
Publishing.
De Marcelo, Jesús (2002). Virus de sistemas informáticos e internet. México: Alfa omega-
Rama.
González, Alfonso, (2002). Visual Basic. Programación cliente-servidor, México: Alfa
omega-Rama.
Hernández Steven (2013). Official ISC 2 Guide to the CISSP CBK. Boca Raton Florida,
USA: Auerbach Publications.
March Nicholas (2010). The Fat-free Guide to Network Scanning. Berkeley: CreateSpace-
Nmap Cookbook.
McClure Stuart, (y otros) (2009). Hacking Exposed: Network Security Secrets and Solutions
(Sixth Edition). Berkeley, California. McGraw-Hill.
Network Security: A Decision and Game-Theoretic Approach, Cambridge University Press,
2010.
Ortega J., López M., García E. (2005). Introducción a la criptografía. Historia y actualidad.
Ciudad Real: Universidad Castilla La Mancha.
Rault, Raphaël; Schalkwijk, Laurent; Agé, Marion, Nicolas; Crocfer, Robert; Dumas, David;
Ebel, Franck; Fortunato, Guillaume; Hennecart, Jérôme; Lasson, Sébastien. (2015).
Seguridad informática - Hacking Ético: Conocer el ataque para una mejor defensa
(3ª edición). Barcelona: Ediciones ENI.
Estandars Centre. (2019). BS 25999-1:2006. Recuperado el 10 de Octubre de 2019, de http://www.standardscentre.co.uk/bs/BS-25999-1-2006/
292
Serra Carlos. (2009). ISO 31000:2009. Herramienta para evaluar la gestión de riesgos.
Recuperado el 21 de febrero de 2019 de: https://www.isaca.org/chapters8/Montevideo/cigras/Documents/cigras2011-cserra-presentacion1%20modo%20de%20compatibilidad.pdf)
Sigh, S. (2000). Los códigos secretos. Recuperado el 10 de Octubre de 2019, de
http://www.librosmaravillosos.com/loscodigossecretos/pdf/Los%20codigos%20secretos%20-%20Simon%20Singh.pdf
Vincent Herzog, Peter. (2003). Manual de la metodología abierta de comprobación de la
seguridad (OSSTMM, Open Source Security Testing Methodology Manual). Nueva
York: ISECOM. Recuperado el 12 de febrero de 2019 de
https://issuu.com/dragonjar/docs/osstmm.es.2.1/2
Tapiador, Sigüenza, (2004). Tecnologías biométricas aplicadas a la seguridad, Madrid,
España: Ra-Ma S.A.
293
Sitios electrónicos
(Vigentes al 26 de febrero de 2019)
Sitio Descripción
http://revista.seguridad.unam.mx/numeros-anteriores
Revista mensual con temas actuales de seguridad informática con casos nacionales e internacionales.
https://frikosfera.wordpress.com/2015/02/27/que-es-la-arquitectura-von-neumann/
Arquitectura de computadoras.
http://www.eldiario.es/turing/John-Neumann-revolucionando-computacion-Manhattan_0_380412943.html
Arquitectura de computadoras
http://www.aliat.org.mx/BibliotecasDigitales/sistemas/Arquitectura_computadoras_I.pdf
Arquitectura de computadoras.
https://sites.google.com/site/computadorasarquitectura/home/introduccion
Arquitectura de computadoras.
http://www.risicare.fr/ Sitio que presenta información del software RISICARE
http://www.welivesecurity.com/la-es/2015/03/23/evaluacion-de-riesgos-cualitativa-o-cuantitativa/
Sitio que tiene información sobre seguridad evaluación de riesgo.
https://www.wireshark.org/ Sitio que presenta un analizador de tráfico de la red gratuito y multiplataforma
https://www.rfc-editor.org/rfc/rfc1087.txt
Network Working Group. (1989). Ethics and the Internet.
http://tecnologia-entu-blog.blogspot.mx/2010/02/estandarizacion-y-certificacion-en.html
Mecanismos de protección.
https://www.techopedia.com/definition/24820/compartmented-security-mode
Modos de seguridad.
http://es.slideshare.net/luisrobles17/modelos-de-seguridad-de-la-informacin
Modelos de seguridad.
294
http://qanewsblog.com/2013/04/16/evaluacion-de-la-seguridad-de-los-sistemas-informaticos-politicas-estandares-y-analisis-de-riesgos/
Guías de evaluación.
http://www.tugurium.com/gti/termino.php?Tr=dedicated+mode
Glosario de terminología informática.
http://mundoerp.com/blog/niveles-seguridad-y-auditoria-datos/
ERP: Niveles de seguridad y auditoría de datos.
http://web.mit.edu/rhel-doc/4/RH-DOCS/rhel-rg-es-4/s1-samba-security-modes.html
Red Hat Enterprise Linux 4: Manual de referencia.
https://www.genbeta.com/desarrollo/que-es-y-como-surge-la-criptografia-un-repaso-por-su-historia
Historia de la criptografía.
https://www.genbeta.com/a-fondo/por-que-es-importante-https-y-que-implica-no-usarlo
¿Por qué es importante HTTPS y qué implica no usarlo?
https://revista.seguridad.unam.mx/numero-17/criptograf%C3%AD-y-criptoan%C3%A1lisis-la-dial%C3%A9ctica-de-la-seguridad
Criptografía y criptoanálisis: la dialéctica de la seguridad.
https://protejete.wordpress.com/gdr_principal/analisis_riesgo/
Sitio web sobre gestión de riesgos informáticos.
http://www.wipo.int/sme/es/documents/value_ip_intangible_assets.htm
Sitio web sobre valuación de activos.
http://administracionelectronica.gob.
es/pae_Home/pae_Documentacion/p
ae_Metodolog/pae_Magerit.html#.Vg
Hb3pVdG1s
Herramienta de evaluación de riesgos MAHERIT.
http://www.cyta.com.ar/ta1001/v10n1
a3.htm
Herramienta de evaluación de riesgos MAHERIT.
http://www.risicare.fr/index.htm Software de gestión de riesgos basado en la herramienta MEHARI.
http://www.welivesecurity.com/la-
es/2015/03/23/evaluacion-de-riesgos-
cualitativa-o-cuantitativa/
Evaluación de riesgos cualitativa y cuantitativa.
295
http://www.magazcitum.com.mx/?p=1
565#.VgswvJVdG1s
Transferencia del riesgo.
https://www.youtube.com/watch?v=S
3YpvcYfwt8
Minuto 2:50 a 7:30. Video de la serie Hacking the System Episodio 1 Temporada 1 Personal Security.
http://www.isecom.org/research/ Open Source Security Testing Methodology Manual (OSSTMM).
https://latam.kaspersky.com/blog/bio
metric-atms/7844/
¿Es segura la banca biométrica?
https://latam.kaspersky.com/resourc
e-center/definitions/tunneling-
protocol
¿Qué es un protocolo de tunelización?
https://www.xataka.com/vodafoneads
lafondo/que-es-y-como-funciona-la-
nat
¿Qué es y cómo funciona la NAT?
https://www.welivesecurity.com/la-
es/2015/06/01/como-fortalecer-capas-
redes-informaticas/
Cómo fortalecer las distintas capas de las redes informáticas.
https://www.abc.es/tecnologia/movile
s/aplicaciones/abci-estas-apps-
mensajeria-mas-seguras-
201802182136_noticia.html
Página que presenta información sobre las «apps» de mensajería más seguras.
https://hipertextual.com/2018/05/cifra
do-pgp-vulnerable
Página que presenta información sobre los sistemas PGP y S/MIME de correo electrónico.
http://www.maithean.com/docs/set_ei
g.pdf
Documento en Inglés: External Interface Guide to SET Secure Electronic Transaction (PDF). Mastercard and Visa. September 1997.
https://www.owasp.org/images/5/5e/
OWASP-Top-10-2017-es.pdf
Documento en PDF. OWASP Top 10 – 2017. Los diez riesgos más críticos en Aplicaciones.
296
https://www.symantec.com/content/d
am/symantec/docs/about/2017-ncsir-
global-results-en.pdf
Documento en PDF con información sobre Norton 2017 Cyber Security Insights Report Global Results.
https://www.iso.org/standard/54534.h
tml
Página en Inglés que tiene información sobre el estándar ISO/IEC 27001:2013 - Information technology -- Security techniques -- Information security management systems – Requirement.
https://www.owasp.org Página que muestra información sobre la comunidad de voluntarios para participar en diversos proyectos (OWASP).
https://www.incibe.es/protege-tu-
empresa/que-te-interesa/plan-
contingencia-continuidad-negocio
Instituto Nacional de Ciberseguridad.
https://www.ready.gov/business-
impact-analysis
Análisis de Impacto del Negocio.
https://tools.ietf.org/html/rfc2196 RFC 2196.
https://tools.ietf.org/html/rfc1244 RFC 1244.
https://www.isaca.org/chapters8/Mon
tevideo/cigras/Documents/cigras201
1-cserra-
presentacion1%20modo%20de%20co
mpatibilidad.pdf
Norma ISO 31000:2009.
https://www.isotools.org/2014/03/12/c
omo-fue-el-cambio-de-bs-25999-
22007-a-la-iso-22301/
Norma BS 25999.
https://www.isc2.org/Ethics (ISC)² Code of Ethics. Es una organización que capacita y certifica a profesionales de seguridad en informática
https://www.gob.mx/se/articulos/la-propiedad-industrial-en-mexico
La Propiedad Industrial en México.
297
https://www.itbusiness-solutions.com.mx/regulaciones-seguridad-informatica
Regulaciones que se deben cumplir para la seguridad informática.
https://www.oas.org/juridico/spanish/cyb_ecu_delitos_inform.pdf
Delitos Informáticos: Generalidades.
http://portaley.com/2013/10/tipos-de-delitos-informaticos-o-ciberlitos/
Tipos de Delitos informáticos o ciberlitos.
http://www.delitosinformaticos.info/delitos_informaticos/tipos_delitos.html
Tipos de delitos informáticos.
http://www.ordenjuridico.gob.mx/Congreso/2doCongresoNac/pdf/PinaLibien.pdf
Los Delitos Informáticos previstos y sancionados en el Ordenamiento Jurídico Mexicano.
http://www.scielo.org.co/scielo.php?script=sci_arttext&pid=S0121-86972008000100013
El derecho informático y la gestión de la seguridad de la información una perspectiva con base en la norma ISO 27 001.
https://www.ready.gov/business-impact-analysis
Sitio que informa sobre estrategias de recuperación de información.
https://wipolex.wipo.int/es/treaties/textdetails/15548.
Protocolo adicional al Convenio sobre la ciberdelincuencia relativo a la penalización de actos de índole racista y xenófoba cometidos por medio de sistemas informáticos
298
RESPUESTAS A LOS EXÁMENES
UNIDADES
No. 1 2 3 4 5 6 7 8 9
1 a b a V A B A D C
2 a b b V B A B F B
3 c b a F A A B H C
4 b c b V C B A G B
5 a c a V A A C E B
6 b b c F B B B I B
7 d b d V B A B B C
8 d b c V C B C C A
9 c c a V B B B A B
10 b a a F A B A J C
11 d
12 a
299