Captulo 4 SEGURIDAD DE LA INFORMACIN

1. SEGURIDAD DE LA INFORMACIN
Debemos distinguir entre seguridad informtica y seguridad de la informacin. Aunque la informacin est muy residenciada en la informtica y esta plantea problemas muy abundantes y especficos de seguridad, la informtica no es la nica fuente de inseguridad de la informacin sino que tambin hay amenazas provenientes de factores humanos, relaciones con otras organizaciones, infraestructuras de acceso y un sinfn de elementos que superan el mbito de la informtica. De forma que el objetivo de la seguridad de la informacin no es tanto proteger ordenadores, redes de datos o discos, sino proteger la informacin de todas sus amenazas, vengan de donde vengan. Por ello, el captulo de la seguridad de la informacin lo planteamos en el mbito de la tecnologa informtica y de las telecomunicaciones, analizando sus peligros en la configuracin de instalaciones informticas, sistemas operativos, redes de datos, desarrollo de software seguro, mecanismos software y hardware de proteccin, etc., pero tambin estudiamos aspectos no puramente informticos tales como actuacin de las personas, flujos de trabajo en la organizacin, etc. En conclusin podemos hablar de dos clases de peligros a seguridad: - Peligros internos del sistema informtico. Son factores que se deben a instrumentos informticos y se resuelven con medios informticos. - Peligros externos al sistema informtico. Son los peligros debidos a la intervencin humana (usuarios del sistema, normalmente) y, en cuanto son humanos, constituyen factores que no se pueden automatizar del todo.

98 ADMINISTRACIN DE LOS SISTEMAS DE INFORMACIN Y ARCHIVO EN SOPORTE CONVENCIONAL E INFORMTICO

2. SEGURIDAD INFORMTICA
La palabra seguridad tiene significados diferentes en informtica. Pensemos en un sistema de gestin de nmina. Alguien considerar que el sistema es seguro si es fiable, en el sentido de que tramite las nminas puntualmente, por el importe correcto, con las retenciones fiscales que correspondan, etc. Otros pensarn en un sistema robusto, que se defienda bien de los fallos del hardware y las comunicaciones. Otros darn ms importancia a la proteccin de la informacin, de forma que el sistema no permita que un intruso sin autorizacin modifique las retribuciones. Otros, que se mantenga la privacidad de la informacin (que no se revelen al pblico los datos personales de los trabajadores). Todas estas visiones de la seguridad son correctas aunque cada una enfatiza un aspecto particular. De aqu que podamos afirmar que las seguridad es un concepto que abarca muchos frentes, todos relacionados con la conservacin y salvaguarda de la informacin. Y podemos definirla como el conjunto de tcnicas, herramientas y mtodos dirigidos a asegurar que los recursos de informacin de una organizacin se utilicen de la manera prevista, mantenindola ntegra y garantizando su continuidad. La seguridad es una materia que, en al mbito informtico, se ha desarrollado mucho en los ltimos aos, de forma que se han ido creando una amplia serie de estndares, protocolos, mtodos, reglas, herramientas y leyes cuyo objetivo es minimizar los riesgos a la infraestructura informtica y a la informacin propiamente dicha. Pensamientos errneos acerca de la seguridad. La primera dificultad y peligro de la seguridad de la informacin son las ideas y pensamientos que generan una confianza falsa. Los ms frecuentes son los siguientes: - Mi sistema no es importante para un cracker Quin va a querer mi informacin? Eso puede ser verdad pero, los contagios se realizan con programas automticos, desde unas mquinas a otras y estos no distinguen informacin buena de mala, interesante de no interesante, etc. Por tanto abrir sistemas y trabajar sin proteccin es facilitar la inseguridad. - Estoy protegido pues no abro archivos que no conozco. Esto olvida que los programas realizan acciones sin la supervisin del usuario poniendo en riesgo los sistemas.

SEGURIDAD DE LA INFORMACIN 99

- Como tengo antivirus estoy protegido. En general los programas antivirus no son capaces de detectar todas las posibles formas de contagio existentes, ni las nuevas que van apareciendo. - Como dispongo de un firewall no me contagio. El firewall nicamente proporciona una limitada capacidad de respuesta, mientras que las formas de infectarse son mltiples. Unas provienen directamente de accesos al sistema (de lo que protege un firewall) y otras de conexiones que se realizan (de las que no protege).

3. PRINCIPIOS DE SEGURIDAD
En el mundo anglosajn, hay tres principios en materia de seguridad (confidencialidad, integridad y disponibilidad) conocidos por sus iniciales, como principios CIA, (Confidentiality, Integrity, Availability) cuya misin es atender a los peligros y amenazas de todo tipo que se ciernen sobre la informacion. Su contenido y alcance es el siguiente: - Confidencialidad o privacidad. En muchos sistemas habr informacin de valor econmico o poltico, secretos de empresa, etc., siendo crucial establecer reglas de privacidad, que eviten su revelacin indebida. - Integridad. La informacin se ha de mantener en estado integro, impidiendo alteraciones indebidas, tanto intencionadas como debidas a negligencias o a comportamientos defectuosos del sistema. - Disponibilidad. La informacin ha de estar disponible para los usuarios autorizados, de forma continuada, eficaz y con tiempos razonables de respuesta. De nada sirve prevenir los accesos no autorizados, si se pueden perder datos por no hacer copias de seguridad o que sean tales los controles de acceso que la informacin slo se pueda recuperar tras una espera de varios das. Aunque los tres principios son importantes, cada sistema pondr el nfasis en uno o varios de los tres principios anteriores, segn sus objetivos y forma de trabajo concretos. As, el sistema de informacin de un cuerpo policial pondr el nfasis en la confidencialidad, mientras que un sistema de informacin de control areo pondr el nfasis en la integridad y disponibilidad del servicio.

100 ADMINISTRACIN DE LOS SISTEMAS DE INFORMACIN Y ARCHIVO EN SOPORTE CONVENCIONAL E INFORMTICO

4. PROBLEMAS DE LA SEGURIDAD
Podemos hacer dos grupos con los peligros o enemigos de la informacin en informtica: internos y externos.

4.1. Problemas internos

Los problemas de seguridad, de carcter interno, ms importantes son: El software. Por muy diversos motivos, los sistemas de software tienen un nivel de calidad y de seguridad mucho ms bajo que los sistemas fsicos. Todo el software que utilizamos habitualmente est repleto de vulnerabilidades, algunas de dominio pblico, y otras desconocidas, incluso por el propio fabricante. Esta debilidad del software se aplica incluso al software de base: sistema operativo, navegadores de Internet, paquetes ofimticos, servidores web, etc. La nica postura posible es asumir que el software que se utiliza es vulnerable, y desarrollar una estrategia para dificultar la explotacin de esa vulnerabilidad por terceros. Los usuarios. El usuario es la principal causa de problemas de seguridad de la informacin en un sistema informtico (porque no le importa, no se da cuenta o a propsito). De acuerdo con el Computer Security Institute (CSI) entre 60 y 80 por ciento de los incidentes de seguridad son causados por el usuario. Las amenazas provenientes de los usuarios (que las incluimos en el grupo de amenazas internas) pueden ser ms serias que las externas ya que estos: - Conocen la red y su funcionamiento. - Tienen siempre algn tipo de acceso a la red por razn de su trabajo. Restricciones a los usuarios. Los distintos usuarios del sistema informtico tienen roles o papeles diferentes, correspondiendo a cada rol un diferente nivel de acceso a servicios y datos del sistema. Las restricciones de acceso a los usuarios deben ser diferentes segn los roles detentados. As, en una sucursal bancaria, el acceso del encargado de la nomina del personal debe quedar limitado a la informacin relacionada con la nomina y no extenderse a las cuentas de los clientes, ya que se hace la nomina sin necesidad de acceder a estas. Se debe seguir en esto el principio de que, cuanta ms importancia tenga la informacin, mayor debe ser el grado de confianza y de limitaciones que han de exigirse al personal para acceder a ella.

SEGURIDAD DE LA INFORMACIN 101

Identificacin de usuarios. Es importante definir mecanismos o procedimientos para identificar al usuario, es decir, para dar seguridad al sistema de que el usuario que lo utiliza es quin dice ser. Para identificar a los usuarios existen varias tcnicas, esencialmente las siguientes: - Dispositivos Fsicos o Tokens. Son cosas fsicas o dispositivos que posee el usuario y que lo identifican. Por ejemplo una tarjeta de acceso. - Clave secreta o password. La clave secreta es una informacin, algo que solo el usuario sabe, por ejemplo, una password, nmero de identificacin personal, PIN, etc. Es el mtodo de autentificacin ms utilizado. La autentificacin la realiza el sistema comparando la clave del identificador aportada con la que el sistema tiene almacenada internamente. - Biometra. La biometra es el reconocimiento automtico de la persona analizando rasgos fisiolgicos o de conducta, por ejemplo sus huellas dactilares, el iris de sus ojos, su voz, etc. Normalmente la biometra se utiliza para identificar usuarios, para acceder a una institucin, edificio o estancia de acceso restringido, o bien, para utilizar o consultar algn servicio o informacin protegida proporcionada por un sistema informtico. En la actualidad existen mtodos de reconocimiento automtico de huellas dactilares, reconocimiento del rostro, ADN, geometra de la mano y de la palma de la mano, reconocimiento del iris, reconocimiento de la retina y del olor o esencia corporal. La mayor parte de estos mtodos estn en fase de pruebas, y la mayor parte de los productos biomtricos comerciales son de huellas dactilares y reconocimiento del iris. - Firma digital o electrnica. Se denomina firma digital a un esquema matemtico que sirve para demostrar la autenticidad de un mensaje digital o de un documento electrnico. Una firma digital da al destinatario seguridad de que el mensaje recibido fue creado por el remitente, y que no fue alterado durante la transmisin. Las firmas digitales se utilizan comnmente para la distribucin de software, transacciones financieras y en otras reas donde es importante detectar la falsificacin y la manipulacin. Consiste en un mtodo criptogrfico que asocia la identidad de una persona o de un equipo informtico al mensaje o documento. En funcin del tipo de firma puede, adems, asegurar la integridad del documento o mensaje. La firma electrnica, como la firma holgrafa (autgrafa, manuscrita), puede vincularse a un documento para identificar al autor, para sealar conformidad (o disconformidad) con el contenido,

102 ADMINISTRACIN DE LOS SISTEMAS DE INFORMACIN Y ARCHIVO EN SOPORTE CONVENCIONAL E INFORMTICO

para indicar que se ha ledo y, en su defecto mostrar el tipo de firma y garantizar que no se pueda modificar su contenido. La firma digital es una secuencia de datos electrnicos que se obtienen mediante la aplicacin de un algoritmo o frmula matemtica. Esta secuencia de datos se puede incorporar al documento original, de igual forma que en los documentos de papel se estampa un sello o una firma manuscrita. La firma digital o electrnica autentifica fehacientemente al autor de un mensaje y equivale, a todos los efectos, a su firma autgrafa. La utilizacin de la firma digital asegura que el emisor y el receptor del mensaje (ya sean dos empresarios, un empresario y un consumidor o un ciudadano y la Administracin) puedan realizar una transaccin de forma fiable. Muchas aplicaciones, como Microsoft Office, Open Office, Adobe Acrobat y los programas de correo electrnico permiten agregar la firma al documento original, que as queda fehacientemente firmado. Certificados digitales. Un certificado digital es un documento digital mediante el cual una autoridad de certificacin (persona o institucin confiable) da garantas sobre la identidad de un servidor haciendo que podamos confiar que el servidor al que nos conectamos es quien dice ser. Las partes importantes de un certificado digital son: - Una clave pblica. - La identidad del implicado: nombre y datos generales. - La firma de la autoridad certificadora (AC) que vlida la asociacin de la clave pblica con la persona que dice ser. En la actualidad las aplicaciones de comercio electrnico y transacciones seguras suelen requerir un certificado digital y se ha propagado tanto su uso que: - Se tiene ya un formato estndar de certificado digital, conocido como X509 v.3. - Los navegadores pueden comprobar que el servidor posee un certificado digital.

SEGURIDAD DE LA INFORMACIN 103

- Existe un apartado dentro de los navegadores donde podemos comprobar nuestros certificados, los certificados de las autoridades de certificacin, los certificados de servidores guardados a los que nos hemos conectado, etc.

4.2. Proteccin interna

Una de las cuestiones claves de la seguridad es proteger la informacin para: - Evitar una manipulacin inadecuada. Una mala manipulacin o una mala intencin pueden llevar a la prdida del material o de los archivos. - Impedir el acceso indebido a ella. - Verificar la autenticidad de los datos, es decir, conocer si los datos han sido falsificados o manipulados sin autorizacin. - Mantener la integridad de la informacin incluso cuando ocurra una destruccin parcial. Las tcnicas bsicas para proteger la informacin son: Copias de seguridad. Es el mecanismo ms clsico de preservacin de la informacin ante destrucciones imprevistas. Consiste en guardar copias peridicas de la informacin en ubicaciones diferentes a la habitual. Un medio eficiente para proteger los datos es fijar una poltica rigurosa y sensata de copias de seguridad o backups. Un buen sistema de copias de seguridad debe tener las siguientes caractersticas: Continuo. El respaldo de datos debe ser completamente automtico y continuo. Se deben hacer copias completas la primera vez (los datos son copiados en su totalidad) y copias incrementales las veces siguientes (slo se copian los ficheros creados o modificados desde el ltimo backup). Seguro. Muchos softwares de copias incluyen encriptacin de datos. Remoto. Los datos deben quedar alojados en dependencias alejadas. En este sentido, estn ganando terreno los sistemas de almacenaje online (Servicio de backup remoto). La mayora de estos sistemas de respaldo online cuentan con las mximas medidas de seguridad y disponibilidad de datos y permiten a las empresas incrementar el volumen de

104 ADMINISTRACIN DE LOS SISTEMAS DE INFORMACIN Y ARCHIVO EN SOPORTE CONVENCIONAL E INFORMTICO

informacin sin aumentar su dotacin de servidores y sistemas de almacenamiento. Mantenimiento de versiones anteriores de los datos. Se debe contar con un sistema que permita la recuperacin de versiones diarias, semanales y mensuales de los datos, mantenindolas todas para poder tener acceso en un momento determinado a una versin concreta. Replicacin de datos. Para mantener la integridad de los datos se pueden tener mltiples copias activas de la informacin. Es un paso ms all de las copias de seguridad, porque en un modelo de replicacin activa todas las copias de la informacin se pueden usar simultneamente. Esta tcnica es muy compleja, porque las modificaciones de los datos deben propagarse a todas las copias de forma consistente, para que todas ellas sean idnticas. Criptografa. Consiste en codificar la informacin de manera que slo sea interpretable por usuarios autorizados que dispongan de mecanismos para desencriptar la codificacin. Esteganografa. Consiste en embutir o camuflar informacin dentro de un dato de otro tipo, por ejemplo camuflar un mensaje de texto dentro de un archivo de sonido. Esta tcnica oculta la informacin, mensajes u objetos, dentro de otros, llamados portadores, de modo que no se percibe su existencia. Es una mezcla de arte y tcnica que se combinan para ocultar y enviar informacin sensible dentro de un portador, pasando desapercibida. Si bien la esteganografa suele confundirse con la criptografa, por ser ambas parte de los procesos de proteccin de la informacin, son disciplinas distintas, tanto en su forma de trabajar como en su objetivo mismo. Mientras que la criptografa se utiliza para cifrar o codificar informacin de manera que sea ininteligible para un probable intruso, a pesar del conocimiento de su existencia, la esteganografa oculta la informacin en un portador de modo que no sea advertida su existencia y envo. De esta forma, el intruso ni siquiera sabr que se est transmitiendo informacin sensible. Sin embargo, criptografa y la esteganografa pueden complementarse, dando una mayor seguridad a la informacin. Asi es muy comn (aunque no imprescindible) que el mensaje a esteganografiar sea previamente cifrado, de modo que a un intruso no slo le costar advertir la presencia misma de la mensajera oculta, sino que si la llegara a obtener, la encontrara cifrada.

SEGURIDAD DE LA INFORMACIN 105

Disminucin del software. Se debe tener instalado en el ordenador nicamente el software necesario, ya que ello reduce riesgos. Vigilancia de la red. Tecnologas repelentes o protectoras. Estableciendo cortafuegos, sistemas de deteccin de intrusos (antispyware, antivirus, llaves para proteccin de software, etc.) Cdigos detectores de errores. La informacin se puede almacenar en formatos que permitan la deteccin de alteraciones o daos parciales. Algunas tcnicas pueden incluso corregir los errores y recuperar informacin daada. Estas tcnicas se suelen emplear para autorreparar fallos fsicos, y tambin para detectar alteraciones intencionadas.

4.3. Amenazas externas

Las principales amenazas externas a la seguridad son: a. El siniestro. (robo, incendio, inundacin) b. Problemas en Internet. A pesar de todo lo dicho hasta ahora, el problema esencial de la seguridad lo plantea, no tanto la informtica en s, sino la comunicacin con elementos externos. En un ordenador sin conexin con otros, los peligros de la seguridad son escasos y pueden afrontare mediante el sencillo mecanismo del aislamiento. Sin embargo, las organizaciones estn expandidas por una amplia rea geogrfica y, en consecuencia, inmersas en un mundo interconectado, en que la seguridad es difcil ya que estn obligados a usar constantemente la red Internet enviando y recibiendo datos personales, transacciones econmicas, documentos de trabajo, etc., siendo vital que esta informacin no caiga en manos de personas no autorizadas. Y la red est plagada de agentes hostiles que pretenden obtener informacin ilcitamente, atentar contra los sistemas informticos y, en general, provocar daos. El auge de Internet ha provocado que cada vez ms gente utilice mayor nmero de servicios de la red: World Wide Web (navegacin), correo electrnico, grupos de noticias, canales de charla, transferencia de ficheros, conexin remota a ordenadores, etc. Al utilizar estos servicios se corren riesgos ya que cuando tecleamos una direccin de Internet, estamos descargando una pgina Web, que incluye texto, imgenes, iconos, grficos, animaciones, sonido, vdeos, etc. Y, tambin, elementos como applets de Java,

106 ADMINISTRACIN DE LOS SISTEMAS DE INFORMACIN Y ARCHIVO EN SOPORTE CONVENCIONAL E INFORMTICO

scripts (Javascripts y VB scripts), controles ActiveX, etc. Estos elementos al ser ejecutados en el PC del usuario pueden ejecutar algn cdigo malicioso y, por tanto, representan un riesgo para la seguridad. Para evitar o disminuir riesgos en la navegacin se deben tomar las siguientes medidas: - Tener actualizado el navegador con los ltimos parches de seguridad suministrados por el fabricante del software. - En prcticamente todos los navegadores existe un apartado de configuracin que permite establecer ciertos criterios de seguridad para evitar que el navegador permita la ejecucin de scripts, activar avisos al usuario al conectarse a un sitio no seguro, etc. - Controlar el uso de cookies. Una cookie es un fragmento de informacin que se almacena en el disco duro del visitante de una pgina web, a peticin del servidor de la pgina. Es informacin del nombre de usuario, contrasea, lugares visitados, etc. Esta informacin puede ser luego recuperada por el servidor en posteriores visitas. Los navegadores permiten que el usuario pueda desactivar las cookies aunque puede provocar que los servicios proporcionados por determinados servidores no funcionen. En cualquier caso es conveniente si permitimos el uso de cookies, que estas sean eliminadas al terminar la sesin o bien peridicamente. Todos estos aspectos pueden ser personalizados en las opciones de configuracin del navegador. - Cuando descarguemos algn software desde Internet, es conveniente hacerlo evitando sitios web que no sean de confianza ya que podemos descargar algn virus que infecte nuestro sistema. - Evitar introducir datos sensibles, nombres de usuario, contraseas, nmeros de tarjetas de crdito, etc. en sitios Web en los que dicha informacin no viaje encriptada, garantizando as la seguridad ya que aunque la informacin pudiera ser interceptada por terceros, est cifrada. Esto es fcil de identificar ya que en estos casos la direccin del servidor empezar por https://... en lugar de http://... c. El correo electrnico. El correo electrnico es uno de los servicios de Internet ms empleados. En l, es habitual enviar junto con el texto del mensaje ficheros de todo tipo: documentos, imgenes, vdeos, ficheros de audio,

SEGURIDAD DE LA INFORMACIN 107

etc.... Esto genera riesgos en la seguridad ya que una forma habitual de propagar un virus es envindolo en un adjunto a un correo. Pero no es el nico problema del correo electrnico. Otros riesgos habituales son los siguientes: - Suplantar la identidad del remitente. Puede ocurrir que alguien de forma malintencionada mande un correo suplantando la identidad de otra persona u organizacin. - Si el correo viaja como texto plano (es decir, sin encriptar), un tercero que intercepte los mensajes podra acceder a informacin privilegiada sin que remitente y destinatario se enteren. - Recepcin de correos no solicitados. Es lo que se conoce con el nombre de Spam y se puede convertir en un autntico calvario, ya que su nmero puede crecer hasta hacer invertir al usuario una cantidad de tiempo considerable abriendo correos en los que no tiene inters. - El bombardeo de correos de forma malintencionada por parte de algn o algunos usuarios con el objetivo de saturar el PC de forma que no pueda cumplir con su cometido de recepcin y envo de correos. Se pueden evitar algunos de estos problemas y riesgos, adoptando medidas tales como: - para impedir la ejecucin de cdigo malicioso se debe evitar la ejecucin de ficheros adjuntos o, al menos, ser muy prudentes. Esto debe ser as aunque se conozca al remitente del correo ya que pueden haber suplantado su identidad, o lo que es peor, puede que su equipo est infectado por algn virus que acte leyendo la agenda de direcciones y se autopropague. En resumen, prestar especial atencin a los ficheros adjuntos a correos ya que supone uno de los principales riesgos de contagio a travs del correo electrnico. - Uso de la firma electrnica para garantizar la integridad y autenticidad de los mensajes y usuarios. d. Virus. Un virus informtico es un programa capaz de copiarse a s mismo y propagarse dentro de un sistema informtico o una red, sin conocimiento de los usuarios del sistema. Probablemente es el software malicioso ms popular, aunque su utilizacin en los ltimos aos ha ido disminuyendo.

108 ADMINISTRACIN DE LOS SISTEMAS DE INFORMACIN Y ARCHIVO EN SOPORTE CONVENCIONAL E INFORMTICO

El virus (el nombre proviene de su analoga con los virus biolgicos) penetra en un organismo anfitrin, inserta su cdigo gentico y este se mezcla con el del anfitrin infectndolo. A partir del momento en que el virus informtico infecta un equipo y logra ejecutarse al menos una vez, consigue introducir su cdigo maligno en el sistema, ya que contiene instrucciones que autorreplican el virus en otros lugares (ej. adosndolo a otros ejecutables) y adems provoca algn efecto permanente en el sistema, que puede ir desde la visualizacin de un texto burlesco hasta la completa inutilizacin del sistema. Los virus se introducen en un sistema a travs de una fuente externa, que puede ser cualquier soporte que transporte ficheros ejecutables: disquetes, CD-ROM, memorias USB, documentos adjuntos en correos electrnicos, carpetas compartidas en red, ficheros descargables en programas P2P, etc. La naturaleza de los virus ha variado mucho en sus casi cuarenta aos de historia; han ido aprovechando cuantas tecnologas de programacin han ido surgiendo. Primero se escriban en cdigo mquina dentro de ejecutables; ms adelante comenzaron a aparecer virus de macro, que estaban contenidos en documentos de Microsoft Office aprovechando su capacidad para ejecutar instrucciones de macros; con la aparicin de la Web surgen virus que se ejecutan como Javascript o Java... paralelamente, se han ido desarrollando kits para el desarrollo de virus cuya construccin no precisa grandes conocimientos y habilidades de programacin. A pesar de que este tipo de software est en declive, en 2008 la empresa Panda Antivirus registro 20 millones de nuevos virus. Clases de virus. Los virus se pueden clasificar en: Virus residentes. La caracterstica principal de estos virus es que se ocultan en la memoria RAM de forma permanente (por eso se les denomina residentes). De este modo, pueden controlar e interceptar todas las operaciones efectuadas por el sistema operativo, infectando todos los ficheros y/o programas que sean ejecutados, abiertos, cerrados, renombrados, copiados. Virus de accin directa. Al contrario que los residentes, estos virus no permanecen en memoria. Por tanto, su objetivo prioritario es reproducirse y actuar en el momento de ser ejecutados. Al cumplirse una determinada condicin, se activan y buscan los ficheros ubicados dentro de su mismo directorio y los contagian.

SEGURIDAD DE LA INFORMACIN 109

Virus de sobreescritura. Se caracterizan por destruir la informacin contenida en los ficheros que infectan. Cuando infectan un fichero, escriben dentro de su contenido, haciendo que queden total o parcialmente inservibles. Virus de boot o de arranque. Este tipo de virus no infecta ficheros, sino los discos que los contienen. Actan infectando en primer lugar el sector de arranque de los disquetes. Cuando el ordenador se pone en marcha con un disquete infectado, el virus de boot infectar a su vez el disco duro. Los virus de boot no pueden afectar al ordenador mientras este no se intente poner en marcha con un disco infectado. Por tanto, el modo de defenderse contra ellos es proteger los disquetes contra escritura y no arrancar el ordenador con un disquete desconocido en la disquetera. Virus cifrados. Ms que un tipo de virus, se trata de una tcnica utilizada por algunos de ellos, que pueden pertenecer a otro grupo. Estos virus se cifran a s mismos para no ser detectados por los programas antivirus. Para realizar sus actividades, el virus se descifra a s mismo y, cuando ha finalizado, se vuelve a cifrar. Virus polimrficos. Son virus que en cada infeccin que realizan se cifran de una forma distinta (utilizando diferentes algoritmos y claves de cifrado). De esta forma, generan una elevada cantidad de copias de s mismos e impiden que los antivirus los localicen, por lo que suelen ser los virus ms dificiles de detectar. Virus de Fichero. Infectan programas o ficheros ejecutables (ficheros con extensiones EXE y COM). Al ejecutarse el programa infectado, el virus se activa, produciendo diferentes efectos. e. Gusanos. Un gusano (worm) es, al igual que un virus, un programa capaz de autorreproducirse. Pero a diferencia de un virus, se propaga de forma automtica por una red de ordenadores, sin requerir intervencin humana. A diferencia de un virus, no necesita empotrarse en un programa anfitrin. Dada su capacidad de infeccin autnoma, los gusanos tienen una alta capacidad de dao. De infausto recuerdo es el gusano Blaster, que contamin a media humanidad en 2003, aprovechando una vulnerabilidad en el sistema operativo Windows; aunque ms dao proporcional hizo el gusano Morris en 1998, un experimento que se le fue de las manos a su autor y provoc la mayor cada de servicio de Internet ocurrida hasta el momento. Este incidente propici la

110 ADMINISTRACIN DE LOS SISTEMAS DE INFORMACIN Y ARCHIVO EN SOPORTE CONVENCIONAL E INFORMTICO

creacin del CERT, un observatorio de seguridad de Internet que se ha usado como modelo de gestin de seguridad informtica. f. Troyanos. Los troyanos o caballos de Troya son probablemente el tipo ms antiguo de software malicioso. Un troyano es un software que se manifiesta con una apariencia inofensiva, pero que esconde cdigo que ejecuta acciones no deseadas. El troyano sirve por tanto de seuelo para que el usuario haga lo que el atacante desea, que puede ser el envo de informacin confidencial a un destino controlado por el atacante, la ejecucin de una transaccin econmica, o cualquier otra accin de inters para el intruso. Los troyanos son muy difciles de combatir porque juegan con la apreciacin subjetiva del usuario, que no los reconoce como amenazas. La aplicacin de troyanos ms preocupante actualmente es el llamado phishing, que presenta a los usuarios mensajes de correo electrnico que aparentan ser comunicaciones autnticas de entidades bancarias solicitando contraseas del usuario y que en realidad redirigen a sitios web falsos que capturan esa informacin y la aprovechan para extraer dinero de las cuentas de las vctimas. g. Antivirus. Una estrategia para protegerse contra virus es usar programas antivirus. Los antivirus tienen rastreadores que analizan los correos entrantes para detectar virus que lleguen a travs del correo electrnico. En empresas es habitual que el propio servidor de correo tenga filtros y sistemas antivirus que bloqueen correos y ficheros adjuntos maliciosos, de forma que estos no lleguen a los computadores de los usuarios. El antivirus analiza cada uno de los correos entrantes, ficheros que se copian al disco duro, etc... y busca dentro de ellos. Si el fichero o correo analizado tiene alguno de los patrones de bsqueda, se detecta el virus. Dependiendo de la configuracin del antivirus, informar al usuario o simplemente lo borrar. Es importante que los antivirus estn permanentemente actualizados. En general, los antivirus se actualizan automticamente (conectndose al proveedor) cada vez que se inicia una conexin con Internet. Pero aunque tengamos antivirus, aparecen virus nuevos. h. Cortafuegos, herramientas anti-spyware, filtros anti-spam. Este tipo de software ha aumentado su funcionalidad al crear e incorporar cortafuegos, herramientas anti-spyware, filtros anti-spam, etc. Estos programas disponen de ficheros de configuracin donde se almacenan patrones que identifican los virus

SEGURIDAD DE LA INFORMACIN 111

i. Firewal. En la actualidad y en la situacin que se encuentra el uso de Internet resulta indispensable el empleo de dos tipos de programas: un Antivirus y un Firewall. Un Firewall es un elemento que interponemos entre nuestra maquina y la red, que sirve para filtrar a voluntad el trafico de datos que puede llegar, tanto de la red hacia nuestra maquina como de esta hacia la red. Est compuesto de un programa (software), un equipo (hardware) o una combinacin de ambos (software + hardware). j. Correo no deseado (spam). El trfico de correo no deseado representa una amenaza, por el elevado volumen que puede representar y el tiempo que puede hacer perder. El spam puede representar hasta el 90% del correo entrante de un usuario. La mayora son correos publicitarios que se difunden automticamente a miles de usuarios cuyas direcciones han sido recogidas utilizando software de bsqueda. Entre el spam pueden encontrarse mensajes maliciosos, como phishing o incluso sondas que pretenden asegurarse de que la direccin a la que se ha hecho el envo est activa, con vistas a un posterior ataque ms serio. Los sistemas anti-spam suelen emplear alguna o una combinacin de las siguientes tcnicas: - Listas Negras. O listado de servidores que generalmente envan este tipo de correo. - Listas Blancas. Al contrario, se mantiene solo un listado de los servidores de confianza. - Empleo de filtros que analizan el asunto y el contenido de los mensajes y a travs de palabras clave son capaces de etiquetar un correo como spam con una cierta probabilidad. Cuando un mensaje es etiquetado como spam hay varias posibilidades o sistemas: - sistemas antiespam, muy restrictivos que eliminan los mensajes - Sistemas ms flexibles que los etiquetan como spam - sistemas que los almacenan en carpetas concretas de forma que sea el usuario el que decida la accin a realizar. Hay que tener en cuenta que la clasificacin de un correo como spam y por tanto su posible borrado puede suponer la prdida de un correo legtimo. Por ello, los sistemas cautos de clasificacin del correo en carpetas de spam suelen ser bastante empleadas.

112 ADMINISTRACIN DE LOS SISTEMAS DE INFORMACIN Y ARCHIVO EN SOPORTE CONVENCIONAL E INFORMTICO

Los sistemas antiespam suelen realimentarse de las decisiones tomadas por el usuario de forma que tendrn, con el tiempo, un mayor xito para clasificar un correo como spam. k. Intrusos o ciberatacantes El intruso es la persona que consigue acceder a los datos o programas de los cuales no tiene acceso permitido (cracker, defacer, script kiddie o Script boy, viruxer, etc.). Son los ciberatacantes, de los cuales existen varios perfiles o modos, esencialmente dos: Hacker. El hacker es el intruso con alta cualificacin tcnica que aprovecha sus conocimientos para comprometer la seguridad de un sistema, como reto personal o por pura diversin, sin intencin de hacer dao. Cracker. Es la persona con la cualificacin tcnica de un hacker, que ataca los sistemas con mala intencin: lucro, provocacin de daos, etc. La lnea que separa un hacker de un cracker es muy tenue, pero se puede decir que hacker + malicia = cracker. l. Las estafas: phishing y pharming. Phishing. El phishing es una estafa frecuente consistente en el envo masivo de correos electrnicos a usuarios solicitando determinada informacin. Por ejemplo, el envo de correos con el logo y datos de una entidad bancaria, solicitando la actualizacin de los datos personales del receptor del correo (nombre de usuario, contrasea, etc). Dicha actualizacin de datos es realizada en una Web que imita la web de la entidad bancaria y, entre otros datos,. En realidad dichos datos van a delincuentes que los utilizan para acceder a las cuentas de los usuarios y estafarlos. Pharming. Una variante del phishing, conocida con el nombre de pharming consiste en instalar cierto software malicioso en nuestro equipo, de forma que cuando pongamos en nuestro navegador la direccin de nuestro banco, el software malicioso la intercepte y redirija la informacin que le enviamos al banco a un servidor ajeno y que imita en su aspecto al servidor oficial de la entidad bancaria. Al colocar nuestro nombre de usuario y contrasea estamos entregando esa informacin a los estafadores. Para evitar este tipo de estafas es necesario desconfiar de cualquier peticin de datos de carcter personal. Nunca las entidades bancarias actan de esa manera.

SEGURIDAD DE LA INFORMACIN 113

m. Otro software malicioso Otros tipos de software malicioso que se suelen emplear son los siguientes: Spyware. Es un software que se instala de forma no consentida en el equipo de un usuario para enviar datos de este a algn destino controlado por el atacante. Los datos pueden ser de todo tipo, dependiendo de las intenciones del atacante: contraseas, datos personales, sitios web visitados, horarios de actividad, teclas pulsadas; etc. La va de instalacin de un spyware puede ser un virus (ej. descargado de un correo adjunto), un troyano (ej. un vdeo falso bajado de una red P2P), un gusano, o cualquier medio que pase desapercibido para el usuario. Adware. Son programas que muestran publicidad de manera forzada al usuario. En muchos casos son troyanos que, bajo la apariencia de un software inocuo, instalan en el equipo algn ejecutable que muestra la publicidad no deseada. El ejecutable suele instalarse de manera que es difcil de retirar para un usuario no experto. Muchas veces el adware contiene spyware que recoge ilcitamente informacin sobre los hbitos de navegacin del usuario para ayudar a dirigir la publicidad. Bomba lgica. Una bomba lgica es un componente maligno dentro de una aplicacin de software que est programado para activarse en determinadas circunstancias, como puede ser la llegada de una fecha, el haber ejecutado la aplicacin un nmero de veces o la ausencia/presencia de un mensaje enviado por la red. Uno de los virus ms famosos, el Jerusalem, era tambin una bomba lgica: se activaba si la fecha era un viernes y 13. Las bombas lgicas son a veces utilizadas por desarrolladores de software que las insertan en las aplicaciones que crean para sus clientes o empleadores, con nimo de utilizarlas si les dejan de pagar, les despiden o incluso para simular problemas de mantenimiento que luego pretenden corregir a cambio de dinero.

5. LA SEGURIDAD
La seguridad consiste en un conjunto de barreras y procedimientos que tienen por objeto resguardar los datos. Estas barreras deben: - Evitar que usuarios no autorizados accedan a la informacin

114 ADMINISTRACIN DE LOS SISTEMAS DE INFORMACIN Y ARCHIVO EN SOPORTE CONVENCIONAL E INFORMTICO

- Velar para que los equipos funcionen adecuadamente - Prever robos, incendios, boicots, fallas en el suministro elctrico y cualquier otro factor que atente contra la infraestructura informtica y, en consecuencia, contra la informacin. - Establecer normas que minimicen los riesgos, regulando aspectos tales como horarios de funcionamiento, restricciones de acceso a ciertos puntos, autorizaciones, denegaciones, perfiles de usuario, planes de emergencia, protocolos y todo lo necesario para un buen nivel de seguridad. - Redundancia o duplicacin de datos. Aun teniendo dispositivos seguros de almacenamiento (o transmisin), hay que tener en cuenta circunstancias imprevisibles o inevitables. Ante ellas es buena forma de proteccin la redundancia o duplicacin de los datos y la descentralizacin (por ejemplo mediante ubicacin de la informacin en redes). - Restringir el acceso a los programas y archivos a ciertas personas de la organizacin y de fuera de ella. Y asegurar que los usuarios trabajen solo en los archivos que les correspondan, sin posibilidad de hacerlo a los dems. Esto se hace organizando a los empleados en una jerarqua informtica, con claves distintas y permisos bien establecidos, segn los sistemas o aplicaciones en los que hayan de trabajar. - Asegurar que se utilicen los datos, archivos y programas correctos y siguiendo el procedimiento adecuado. - Asegurar que la informacin transmitida la recibe el destinatario al que se enva y no otro. - Asegurar sistemas y pasos de emergencia alternativos de transmisin entre diferentes puntos. - Actualizar constantemente las contraseas de acceso.

6. EL PRECIO DE LA SEGURIDAD
Un plan de seguridad debe tener en cuenta los aspectos y las amenazas anteriores y afrontarlos, pero debe hacerlo de forma que el precio del plan de

SEGURIDAD DE LA INFORMACIN 115

seguridad concreto se mantenga en unos lmites posibles y razonables, en particular los siguientes: - Costes econmicos directos. Inversin en infraestructuras, licencias de software, personal de seguridad, dispositivos de ms calidad, etc. - Prdida de eficiencia en los procesos. Si un proceso se modifica para aumentar la seguridad a base de introducir contraseas, verificaciones manuales, etc. se necesitar ms tiempo para completarlo, e incluso puede haber ms probabilidad de fallos por descuidos. - Costes sociales. Hay medidas de seguridad que podran ser eficientes pero que son mal recibidas por las personas (ej. los sistemas de identificacin biomtrica), o que pueden violar la Ley. Teniendo todo ello en cuenta, toda organizacin medianamente compleja debe definir una poltica de seguridad para disminuir las vulnerabilidades, prevenir las amenazas, tener conocimiento de los incidentes de seguridad que se generan y actuar eficazmente cuando se produzcan los incidentes con el fin de minimizar su impacto. Cuando una amenaza se materializa, ocurre un incidente de seguridad, que tendr un impacto en la organizacin. El impacto puede ser medible econmicamente o no (ej. Prdida de reputacin de la empresa, disminucin de la moral de los trabajadores). Y puede ser detectado al instante, al cabo de un tiempo cuando se perciban sus efectos, o incluso pasar inadvertido. De todo lo anterior se infiere que probablemente la seguridad total es inalcanzable por sus costes econmicos o sociales y lo alcanzable y razonable es buscar un equilibrio entre inversin en seguridad y riesgos que se cubren con ella. Por tanto, hay que definir el nivel de seguridad que se desea y aplicar las medidas de seguridad que lo garantizan. Por otra parte, nunca podemos calificar un sistema como seguro, ni siquiera medir objetivamente su grado de seguridad real. S podramos medir la inseguridad de un sistema, contando el nmero de incidentes ocurridos y aplicando algn coeficiente segn su gravedad. As y todo, no es lo mismo sufrir diez incidentes en un ao si en ese periodo ha habido cien amenazas, que si se han producido mil amenazas.

116 ADMINISTRACIN DE LOS SISTEMAS DE INFORMACIN Y ARCHIVO EN SOPORTE CONVENCIONAL E INFORMTICO

7. LEGISLACIN DE SEGURIDAD
La arquitectura de Internet, la facilidad que tiene una persona de entrar en contacto con cualquier equipo informtico del planeta, y de hacerlo de forma annima, es un terreno abonado para la comisin de delitos. Hay muchas oportunidades y pocos riesgos, en comparacin con la delincuencia sobre bienes materiales. Las legislaciones de los Estados, obligan a las empresas e instituciones pblicas a implantar polticas de seguridad. En Espaa regula esta materia la Ley Orgnica de Proteccin de Datos (LOPD) y su normativa de desarrollo. Como es habitual, la legislacin ha ido por detrs de la innovacin delictiva, y durante mucho tiempo ha habido actividades ilcitas que quedaban impunes por vacos legales. Derecho a la privacidad. Afortunadamente se ha ido consolidando un cuerpo legal que da mejor cobertura a la lucha contra la delincuencia informtica. Al final del siglo XX se ha creado en los pases occidentales una doctrina legal acerca del derecho de las personas a la privacidad, y de las restricciones que debe tener el tratamiento de datos personales. Esta preocupacin ha ido adaptando las normativas a los peligros informticos, de forma que en la actualidad se reconoce la existencia del delito informtico, que puede ser definido como cualquier conducta ilcita relacionada con el tratamiento automatizado de la informacin o su transmisin por medios electrnicos. La persecucin de los delitos informticos ofrece dificultades, tales como: La dificultad de obtencin de evidencias, teniendo en cuenta lo efmero de muchos rastros y la habilidad de los delincuentes para eliminar sus huellas, camuflarse detrs de otras identidades, atacar desde mquinas de terceros previamente violentadas, etc. La dificultad de utilizar las evidencias como medio de prueba, ya que an no se aceptan los documentos digitales como prueba. Los problemas del principio de territorialidad: se aplica la ley del lugar de comisin del delito. Dilucidar las competencias jurdicas de cada pas, realizar la investigacin policial, complican enormemente en el escenario mundial que ofrece Internet.

SEGURIDAD DE LA INFORMACIN 117

La facilidad para cometer delitos, teniendo en cuenta la abundancia de herramientas de software para delinquir; la inseguridad de las redes de datos; y la endeblez del sistema operativo, navegador y software ofimtico ms empleado. La falta de tipificacin como delito de ciertas conductas nocivas. La percepcin social de que muchas conductas no son ilcitas, especialmente en lo referente a la propiedad intelectual, al honor, a la intimidad y al tratamiento de datos personales. Organismos oficiales de seguridad informtica. Existen organismos oficiales encargados de asegurar servicios de prevencin de riesgos y asistencia a los tratamientos de incidencias, tales como el CERT/CC (Computer Emergency Response Team Coordination Center) del SEI (Software Engineering Institute) de la Carnegie Mellon University el cual es un centro de alerta y reaccin frente a los ataques informticos, destinados a las empresas o administradores, pero generalmente estas informaciones son accesibles a todo el mundo.

8. LEGISLACIN ESPAOLA
Las dos referencias que la Constitucin Espaola hace a las tecnologas de la informacin y la comunicacin (TIC) tienen que ver con aspectos de la seguridad de la informacin. El artculo 18.3 dice que se garantiza el secreto de las comunicaciones y, en especial, de las postales, telegrficas y telefnicas, salvo resolucin judicial. Y el artculo 18.4 establece que la ley limitar el uso de la informtica para garantizar el honor y la intimidad personal de los ciudadanos y el pleno ejercicio de sus derechos. Son dos mandatos constitucionales que limitan el uso de las TIC y condicionan la forma y limites de almacenamiento, procesamiento y comunicacin de la informacin en Espaa, en especial la que tiene que ver con personas fsicas. Aparte de la Constitucin, varias leyes regulan directamente la seguridad de la informacin y en particular su tratamiento automatizado. Las siguientes son las ms relevantes: Cdigo Penal - Ley Orgnica 10/1995 del Cdigo Penal (CP). Varios artculos se refieren directamente a conductas ilcitas practicadas a travs de la informtica, la

118 ADMINISTRACIN DE LOS SISTEMAS DE INFORMACIN Y ARCHIVO EN SOPORTE CONVENCIONAL E INFORMTICO

electrnica o las telecomunicaciones. La Ley Orgnica 15/2003, de 25 de noviembre, modifica parcialmente el Cdigo Penal e introduce nuevas figuras delictivas directamente relacionadas con las tecnologas de la informacin y la comunicacin o TIC.

9. DELITOS INFORMTICOS
El Cdigo Penal recoge algunos delitos relacionados con las tecnologas de la informacin y la comunicacin o TIC. En su modificacin del ao 2003 introdujo numerosas figuras penales relacionadas principalmente con la piratera digital. Los artculos del Cdigo Penal que afectan directamente a conductas ilcitas en las que intervienen la informtica y las comunicaciones son los siguientes: Artculos 186 y 189. Pornografa infantil. La reforma de 2003 introdujo para el artculo 189 la expresin el que por cualquier medio para incluir la Red como medio para cometer este delito. De igual modo, la redaccin del artculo 186 tipifica como delito la difusin de material pornogrfico en la Red si est dirigido a menores o incapaces. Artculo 197.1. Interceptacin de las comunicaciones. Equipara expresamente el correo electrnico con la correspondencia postal, en lo que se refiere a la interceptacin no consentida de mensajes. Por tanto penaliza las tcnicas de escucha informtica (sniffers, spoofing...). Artculos 197.2. Proteccin penal de datos personales. Penaliza el acceso y la manipulacin de datos personales ajenos en perjuicio de un tercero. Si adems se revelan los datos a terceros, la pena se agrava. Artculo 197.3. Revelacin de secretos. Artculo 248.3. Estafas. Se penaliza el desarrollo, la posesin y el uso de software especficamente destinado a cometer estafas (por ejemplo, software para realizar phishing). Este artculo es importante porque no slo pena la comisin de la estafa, sino la fabricacin de cualquier software malicioso orientado a facilitar las estafas. Artculo 256. Se castiga el uso, sin consentimiento del titular, de un equipo terminal de telecomunicacin si el perjuicio es superior a 400 euros.

SEGURIDAD DE LA INFORMACIN 119

Artculo 264.2. Daos. Castiga a quien por cualquier medio destruya, altere, inutilice o de cualquier otro modo dae los datos, programas o documentos electrnicos ajenos contenidos en redes, soportes y sistemas informticos. Artculo 270. Propiedad intelectual. El apartado 3 considera delito la fabricacin, difusin o posesin de dispositivos (de software, hardware o cualquier otra naturaleza) destinados a neutralizar los sistemas de proteccin contra copias. Artculo 278. Revelacin de secretos empresariales. Menciona expresamente el apoderamiento de documentos digitales y soportes informticos. Artculo 286. Pirateo de servicios digitales. Se castigan una serie de conductas dirigidas a facilitar el acceso a un servicio restringido de radio, televisin, servicio web, etc. Es punible la publicacin de contraseas de acceso, la descodificacin de una seal de una TV de pago, e incluso podra serlo, bajo ciertas condiciones, la difusin pblica de las claves para acceder a un servicio de pago. Artculo 400. Herramientas de falsificacin. Entre otras conductas, se castiga la fabricacin o tenencia de programas de ordenador o aparatos especficamente destinados a cometer delitos de falsificacin de moneda, documentos y certificados. Los artculos 248.3, el 270.3, el 286 y el 400, castiga la tenencia y fabricacin de software y hardware apropiado para actividades ilcitas, an cuando no se use ese material. Se quiere disuadir as la construccin de software malicioso, como virus, crackers de contraseas; y de dispositivos tales como tarjetas descodificadoras de TV.