CUH e-zine 2ª edicion Seguridad informática

Seguridad informática By Alesteir

Como muchos saben la seguridad es un concepto

que debe ir plenamente ligado a cualquier tipo de
sistema informático, al desarrollar algún tipo de
sistema de información, debemos tener siempre en
cuenta, aquellos aspectos, en cuanto a la seguridad
En internet existen sitios que publican
de los datos y del sistema mismo se refieren, por que
vulnerabilidades y fallas que a diario se encuentran
siempre habrá alguien dispuesto a quebrantar o
en aplicaciones y en sitios, por parte de personas
estará en constante búsqueda para encontrar la
que dedican su vida a ello, algunos lo hacen por
forma de vulnerar aquello en lo cual nosotros nos
obtener fama o dinero; y es algo que nos hace
hemos esforzado en salvaguardar y que va implícito
reflexionar y reconocer que la inseguridad es una
a el perfecto funcionamiento de el sistema como tal,
fea e insistente compañera de viaje para todos
y que si tenemos en cuenta también, que nosotros
aquellos que son responsables de la seguridad
cobramos por eso o vivimos de ello, entonces nos
informática en todo tipo de empresas y
veremos afectados a un grado profundo, pudiendo
organizaciones, bien sea en cuanto a desarrollo de
incluso poner en duda el concepto que los demás
aplicaciones o en cuanto a seguridad de los datos
tengan de nuestros conocimientos, experiencias, y
críticos, bien sea de entidades publicas o privadas,
del buen nombre, que muchos tratamos de cuidar, al
que dependen netamente de ellos (siendo incluso su
ejecutar o enfrentar cualquier tipo de desarrollo de
mayor activo y por ende el tesoro que mas deben, y
un sistema informático; ante nuestros actuales
se esfuerzan por cuidar), es ahí donde nace la
clientes o ante los que potencialmente podrían estar
necesidad de crear sistemas que posean los
interesados en nuestro trabajo, llevándonos de esta
mecanismos y maneras efectivas para intentar
manera al fracaso intelectual y económico, dando
prevenir al máximo, las intrusiones y las formas de
paso, a una inminente desaparición de esa idea (o
que alguien (ajeno a la administración y al manejo
ilusión) que con tanto ahínco hemos enfrentado
eficiente y seguro de dichos datos, e incluso en el
(incluso ondeándola como nuestra mayor bandera, si
peor de los casos, protegiendo dicha información,
se trata del desarrollo de aplicaciones o programas)
hasta de una posible amenaza interna, por parte de
derrumbando hasta nuestra propia fe en ello. Sin
algún administrador o de alguien que tenga acceso
embargo todo ello, es algo, que de por si, viene
físico a esas personas) pudiera llegar a vulnerar o a
implícito al desarrollo de aplicaciones y de sistemas
tumbar el sistema que para ello se haya tratado de
informáticos, ya que la experiencia ha demostrado
implementar.
que en cuanto informática ( Y en

la vida misma, los hechos así lo demuestran) se

refiere la inseguridad siempre existirá (nada es
100% seguro) y ese será en el futuro uno de los
ítems que mas atención captará por parte de la
comunidad desarrolladora de sistemas informáticos
(incluso los no orientados a la seguridad) ; con esta
introducción empezamos este temilla tan espinoso
como es la seguridad informática y otro concepto
relativamente nuevo como es la informática anti-
forense.
CUH e-zine 2ª edicion
Debemos también saber, que esta incesante guerra
que se lleva cabo en contra de “el lado oscuro” no
es algo nuevo, y es que la inseguridad misma quien
arenga y excita constantemente a todos aquellos que
de alguna manera trabajamos o dependemos al 100
% de la seguridad de sistemas informáticos, bien
sea aplicada a proveedores, tanto como a usuarios.
Es por eso que debemos tratar de descubrir e
identificar todas esas interrelaciones (muchas veces
ocultas) que tienen que ver con alguna falla o
vulnerabilidad que tarde o temprano será la causa
de algún tipo de incidente (en la mayoría de los
casos: desastroso). Es por ello que debemos tener en
cuenta varios elementos palpables y muy reales
sobre la seguridad de la información, como
concepto plenamente intangible, y que requiere de
la inseguridad para tener un sentido como tal,
asegurando que de esta forma se puedan
desarrollar estrategias eficientes y prácticas que
sean eficaces para aumentar al máximo posible los
niveles de seguridad.
Teniendo en cuentas los anteriores factores la
seguridad total nunca será 100 % posible, ya que
no existe ningún elemento que no esté expuesto a
situaciones inesperadas e imprevistas, que alteren el
correcto ejercicio del sistema, bien sea de manera
positiva o negativa. En base a esto, es como se
deben solventar políticas en cuanto a la
administración de la seguridad, y para ello suele
recurrirse a el análisis y administración de riesgos, el
cual esta basado: en los procesos que reconocen la
presencia de situaciones no previstas y que deben
prever de esta forma, poder tomar medidas y
controles, que mitiguen estas posibles situaciones. En
la actualidad las prácticas de auditoría, encuentran
en la seguridad de la información un ítem
imprescindible, que ofrece a todos aquellos que
tienen la responsabilidad de implementar la
seguridad, una herramienta para enfrentar y
contrarrestar la inseguridad propia de los
componentes del sistema que gestiona dicha
seguridad. Se hace por ello necesario que la gestión
de seguridad de la información, sea constantemente
revisada y complementada, no solamente para
descubrir las posibles fallas de seguridad, sino
también, para comprender de manera estructural y
sistemática las posibles tensiones existentes entre los
distintos elementos que la conforman. En este
aspecto, las tendencias de la internacionalización y
la realidad de un sistema de información global,
hacen que la seguridad de la información se
convierta en un elemento activo, estratégico y vital
para la gran mayoría de las empresas modernas (y
de las no tan nuevas también).
Es aquí donde la inseguridad nos plantea retos
interesantes, al tener que investigar todos los
incidentes que se llegasen a presentar, y el
responder a preguntas como: qué fue?, quién fue?,
Seguridad informática
porqué fue ?, dónde fue?, cuándo fue? y cómo fue?.
Y a través de diferentes estrategias, metodologías,
técnicas y evidencias, que nos ayuden a encontrar las
respuestas a estos interrogantes; no obstante la
terrible audacia y habilidad de los intrusos a veces
puede llegar a desconcertarnos, al ver que de una u
otra forma, intentan alterar o desafiar el
funcionamiento de el sistema de seguridad
implementado, haciendo mas difícil la tarea de
indagación para resolver el caso en cuestión.
Este hecho nos lleva a plantearnos, el hecho de que
la inseguridad de la información, radica muchas
veces en habilidades y practicas anti-forenses
(digital anti-forensics), las cuales buscan manosear,
enredar o destruir los rastros o evidencias
relacionadas con el incidente en cuestión, con el fin
confundir los hallazgos y los resultados de las
investigaciones que para ello se adelanten. Entonces,
tanto los investigadores, como los responsables de la
seguridad, debemos asumir y confrontar, si las
metodologías usadas, realmente son las mas
adecuadas, llegando incluso a replantear nuestro
propio concepto mismo de seguridad y por ende
obligándonos también a reestructurar nuestros
mapas mentales y de esta forma comprender las
fallas que estamos cometiendo, convirtiéndose en el
fondo, en características y consecuencias propias de
un sistema, que en la mayoría de los casos pueden
ser muchas mas, de las que en realidad podemos
administrar. Esta es la idea principal de este artículo,
donde se plantean dos conceptos paralelos, pero
intrínsecamente ligados: seguridad informática e
informática anti-forense, teniendo como lugar de
origen y como radio de acción, la actualidad de las
organizaciones y sus respectivos procesos, también
debemos afrontar esas imprescindibles cuestiones:
como nuevos retos; al tener que confrontar las
distintas técnicas y tácticas de que se valen los
“quebradores de sistemas”, y darle de esta manera
un sentido mas enfático, mucho mas preciso, y mejor
orientado o dirigido, especialmente a las estructuras
y métodos, que aplicaremos a la seguridad de los
sistemas informáticos, que tratemos de desarrollar.
La seguridad es un elemento subjetivo, es decir
individual a cada sujeto. Cada uno de nosotros tiene
una manera distinta de analizar y comprender la
seguridad, también poseemos la facultad de analizar
CUH e-zine 2ª edicion
y por ende el concepto que se tiene de la seguridad
depende de factores independientes. Por lo tanto es
tan valedera, la definición que cualquier persona de
a pie o del común pueda tener, como la de un
especialista en cuestiones técnicas de seguridad,
pues cada uno ve una realidad distinta, desde su
propio punto de vista o análisis del sistema. Al
contrario de ello, la seguridad informática es un
elemento objetivo, ya que hace referencia al objeto,
que en cualquier caso es una realidad evidente,
sensible y verificable. Es en este aspecto, en que la
inseguridad da valor a la esencia misma del análisis
de riesgos, ya que solo, es por medio de acciones
que comprueben y verifiquen dicha validez, donde
obtendremos las medidas de los niveles de
exposición a posibles riesgos, y así llegar a
estructurar los controles, para poder tomar las
decisiones acertadas, para minimizar, y en algunas
veces hasta transferir las fallas; reduciendo el
impacto que podrían llegar a causar.
Nunca existe un nivel superior relativo a la
seguridad, ya que siempre es posible encontrar
alguna medida mejor que la anterior, y todo ello es
el fruto del análisis de las medidas de protección,
que deben estar siendo constantemente evaluadas
para así comprender, el por que: ¿de que forma no
funciona el sistema?, partiendo de ello es posible
replantear o implementar nuevas estrategias, que
estén constantemente mejorando nuestro actual
sistema de seguridad. Al contario, la inseguridad si
tiene un máximo nivel, por ejemplo: en un seguro de
vida, lo máximo en este caso es la muerte, y en cada
caso se pacta en un valor definido por el comprador,
definiendo de esta manera los ítems que rigen dicho
seguro, es por ello que nace la necesidad de
mantener un nivel de protección, ya que siempre
debemos tratar de cuantificar el nivel de inseguridad
que podemos administrar, siguiendo los niveles que
se basan en las prácticas de seguridad y la dinámica
de los procesos de un determinado tipo de negocio.
Podríamos llegar a establecer un máximo nivel de
exposición o riesgo que quisiéramos asegurar, con
las normas y precauciones que el asegurador
establezca como mínimas, para poder aprobar y
pagar los perjuicios, como fruto de la
materialización del riesgo, más allá de nuestro
debido cuidado y diligencia para mantenerlo en los
Seguridad informática
niveles establecidos. La seguridad es impalpable, ya
que no radica en los dispositivos de seguridad que
se tomen, tampoco en los procedimientos efectuados,
ni mucho menos en las personas o en los cargos o
puestos que ellas ejercen. En si, la seguridad es la
afirmación, de que estamos ante un activo cuyo
manejo no es evidente, ni certero, debido a su
volatibilidad, y se basa en la percepción externa que
se pueda tener del mismo. Con solo detenernos a
observar los mercados financieros, que dependen
muchas veces de incertidumbres geopolíticas y que
pueden llegar a destruir la sensación de seguridad
de los inversionistas, conllevando a efectos
devastadores en los movimientos monetarios y
financieros. En contraposición a lo anterior pero
complementario, podemos afirmar que la
inseguridad es algo muy tangible, podemos detectar
el robo, la estafa, los accidentes, las catástrofes, son
propiedades evidenciables y demostrables, de
manera que sabremos a ciencia cierta determinar la
cantidad de los daños ocasionados, bien sea en
cifras o en hechos. Podemos afirmar también que
ello responde a una propiedad emergente de un
sistema (propiedad que nace de la relación entre los
elementos de un sistema y no en particular a un
elemento que lo conforma). Es así, que la seguridad
esta intrínsecamente relacionada con la tecnología,
los procesos y los individuos, convirtiéndose en un
todo coherente y ordenado que depende de el
entendimiento o comprensión de las interrelaciones
existentes, la mayoría de las veces invisibles, en
cuanto a protección de activos se trata. Cabe añadir
que la inseguridad es totalmente inherente a los
objetos, una realidad que deber ser descubierta y
analizada para ser enteramente entendida,
llevándonos inevitablemente de esta manera, hacia
la propia administración de los riesgos. Al tener
plena conciencia de nuestra existencia, también
asumimos que estamos expuestos a muchos riesgos,
de ello se deduce que la inseguridad es inherente a
nuestro diario vivir y por tanto, es preciso tomar una
serias de medidas que nos permitan amortiguar los
impactos causados.
CUH e-zine 2ª edicion
Cuando se trata de moldear o diseñar cualquier tipo
de objeto o estructura, buscamos que ese algo tenga
las características que perseguimos y que se adapten
a las necesidades que tengamos. De igual forma
cuando deseamos que los activos gocen de
seguridad, debemos primero comprender los riesgos
a los cuales está expuesto, para planificar las
distintas estrategias de seguridad para el caso y así
lograr un nivel inferior de exposición de dichos
activos. La inseguridad como tal, no requiere de
esquemas o diseños específicos, se sabe que todos
los objetos en sí mismos la contienen y se puede
manifestar indistintamente, de igual forma se
materializará en el objeto que se examina,
aseverándonos que la inseguridad es una propiedad
inherente a los elementos y advirtiéndonos la manera
de cómo establecer los mínimos ítems de seguridad
para limitar la materialización de la misma en un
escenario con distintos actores y variables.
En conclusión a todo lo planteado hasta acá, se hace
latente en repensar la administración de la
seguridad, por una administración de inseguridad,
donde evidenciando cada una de las características
de ésta última, podamos cambiar las prácticas
actuales de seguridad informática, focalizada a
objetos, para reconocer una nueva política basada
en las relaciones que generan las perspectivas
gerenciales, los procesos económicos y la actual
infraestructura computacional, como una rica fuente
que complementa el entendimiento y la comprensión
de las vulnerabilidades en los sistemas.
Informática anti-
anti- forense
La mente de algunos “inquietos” muchas veces llega
a esferas de lo que el software o hardware puedan
establecer. Estos personajes creativos y desafiantes
ponen a prueba, la representación relativa y
enfocada de los encargados de la seguridad. Se
dice en la industria informática que estos “inquietos”
tienen mucho tiempo al estar en su mayoría de las
Seguridad informática
veces “desocupados” y que no procuran soluciones o
alternativas para la seguridad, sino que al contrario
ocasionan mas daños y problemas de lo que se cree,
recordando a cada uno de los protagonistas, que se
deben reconocer que cada sistema de gestión, tiene
una propiedad inherente que se llama inseguridad,
de la cual no se puede prescindir, al contrario debe
ser el objeto de un mayor análisis, para evidenciar y
entender las posibles fallas..Esto no se logra de la
noche a la mañana, por lo tanto debe recurrir a
estrategias que puedan variar las rutinas del día a
día para la gestión de la seguridad y de esta forma
detectar eso que solo los llamados “inquietos”
pueden ven, entonces se hace necesario poder
administrar la variedad y conocer la complejidad
relativa a la dinámica de la seguridad de cada
entidad u organización, sin embargo tarde o
temprano las organizaciones serán objeto de errores
o incidentes de seguridad, que de acuerdo con las
políticas de la empresa, desembocará en
investigaciones y análisis para determinar y
reconstruir los hechos, así también como identificar a
los posibles responsables y los móviles que los
impulsan. Es en estos casos donde la informática
forense tiene su razón de ser, y también es allí donde
la inseguridad materializada se evidencia y los
hechos pueden ser de igual forma muy variados:
exclusión de información, modificaciones de datos,
inadecuadas prácticas de disposición de medios,
entre otras. La computación forense permite a las
organizaciones adelantar los exámenes requeridos
por y con los medios tecnológicos, para valorar lo
sucedido, y de manera técnica o científica, explicar
lo que pudo suceder, siempre basado en hechos
reales y en evidencia plenamente verificable. De ahí
que las habilidades de los inquietos también prevé la
forma de distorsionar la realidad para “conducir la
investigación” hacia donde ellos lo han planificado y
no hacia la verdad de lo acaecido. Este hecho
profundiza en el cómo funcionan las herramientas
forenses, sus alcances y limitaciones sobre las
mismas, y de esta forma detallar alternativas que
eviten posibles fallas y dudas sobre su adecuado
funcionamiento y uso. Een este escenario es donde
los investigadores forenses en informática entran en
desventaja, pues cualquier hallazgo que se obtenga
con dichas herramientas, bien sea computacionales o
físicas, ya que serán refutadas como objeto de duda
por parte de la defensa del acusado. Es por eso que
la computación anti-forense es un reto constante
para la seguridad de la información y su posterior
desarrollo. Ya que al estudiar las pruebas y ataques
que adelantan las mentes inquietas, se producen y
establecen nuevas políticas y propuestas que
permiten a los desarrolladores, afinar sus futuras
aplicaciones y fortalecer sus aplicaciones vigentes.
Se puede afirmar que la fortaleza de una
herramienta forense, se mide en las constantes dudas
y fallas que tiene que resolver para confrontar las
observaciones y ataques llevado a cabo por las
CUH e-zine 2ª edicion Seguridad informática

llamadas mentes inquietas. prevenir ataques y solventar e implementar mejores

Y la computación anti-forense nos invita a “ver con
otros ojos” lo que la realidad nos dice, enrutandonos
y orientándonos en como debemos actuar, y sobra
decir que es una compañera estratégica y
fundamental que nos obliga a repensar la seguridad
de la información, pero mal utilizada, es una
amenaza permanente que nos exige estar alerta en
todo momento para tratar de deducir y bloquear los
movimientos de los intrusos.
La informática anti-forense nos conlleva a proyectos
como Metasploit Project http://www.metasploit.com
igual forma también las revistas Phrack
http://www.phrack.org , insecurity magazine
http://www.insecuremag.com y muchos mas
esfuerzos internacionales, que llevan como bandera:
establecer un referente real y preciso sobre la
seguridad de la información.
sistemas de seguridad informática, la vulnerabilidad
en estos casos no es tomada como una debilidad o
carencia de control, es simplemente se hace preciso
reconocer que aun no hemos acabado de
comprender la variedad que puede alcanzar el
sistema que hemos creado, también se debe
recalcar, que estas medidas deben ser continuas y
flexibles, para poder entender y moldear el sistema y
llevarlo a la toma de decisiones eficientes en cuanto
a las posibles situaciones de fallo y no a una
posición inflexible, que solo se rige a cierto tipo de
incidente únicamente. En otras palabras se debe
tener la mente abierta, ante el ramillete de
posibilidades que se pudieran presentar, además de
una insistencia constante, para así, poder enfrentar
nuevas propuestas y estrategias creativas, que
conlleven a mejorar la gestión de la seguridad
informática. Ignorar o renunciar al aprendizaje de
la inseguridad, es cortar el correcto flujo de la
seguridad y por ende cercenar su futuro, de igual
forma es negar la dinámica misma del desarrollo y
las nuevas facetas para afrontar las nuevas formas
de protección, que no pasan de ser el entendimiento
mismo de la inseguridad materializadas, en una
técnicas, una herramientas o el desarrollo de un
sistema de información como tal.

Después de efectuar de un ejercicio de valoración

de seguridad, ya sea por medio de ataques
controlados o por la puesta a prueba de
vulnerabilidades contra la infraestructura de las
entidades y organizaciones (Publicas o privadas),
siempre queda un mal sentir en el ambiente, ya que
se contraponen, por un lado los esfuerzos y
gestiones efectuados por el encargado de la
seguridad, que ve como sus esfuerzos no son
suficientes para contrarrestar los ataques o fallos y
también ve como se refuerzan los mecanismos al ver
que su sistema se doblegan ante la propia
inseguridad del sistema. Por otro lado también
queda un aire de satisfacción, por parte de los
consultores, al haber descubierto las fallas y
evidenciar las falencias en la aplicación de los
procedimientos y acciones en cuanto al área de
seguridad se refieren. Respecto a este contraste,
nunca se debe tratar de esconder la primera y
resaltar la segunda, seria un autoengaño hacerlo; es
por eso que la mayoría de las organizaciones
reconocen en las vulnerabilidades y en la mayoría
de los casos también que recurren (Contratan) a
aquellas mentes inquietas como una de sus fuentes
de aprendizaje, ya que al estar de parte, de quienes
por regla, tratan de romper los sistemas, logrando a By Alesteir
corto y mediano plazo encontrar las formas de