Académique Documents
Professionnel Documents
Culture Documents
{Seguridad
informtica }
AUTOR:
Duque Luis C.I. 21.452.675
NDICE
SEGURIDAD INFORMTICA...................................................................................4
LA SEGURIDAD DE LA INFORMACIN................................................................4
HACKER.......................................................................................................................4
TERMINOLOGA.....................................................................................................6
OverHat..................................................................................................................6
White hat y black hat..............................................................................................6
Samuri...................................................................................................................7
Phreaker..................................................................................................................7
Lammer o script-kiddie..........................................................................................7
Newbie...................................................................................................................7
Otros trminos........................................................................................................7
INGENIERA SOCIAL.................................................................................................7
ATAQUE INFORMTICO...........................................................................................8
ATAQUE DE DENEGACIN DE SERVICIOS.......................................................8
Mtodos de Ataque.................................................................................................9
Impacto en la Red.................................................................................................10
ATAQUE DE DA CERO........................................................................................10
Vas de ataque......................................................................................................10
Proteccin.............................................................................................................10
ATAQUE DE FUERZA BRUTA.............................................................................11
ATAQUE DE REPLAY.........................................................................................11
Suplantacin de identidad....................................................................................11
Denegacin de servicio........................................................................................12
ATAQUE MAN-IN-THE-MIDDLE........................................................................12
Un ejemplo de criptografa de clave pblica........................................................13
Defensas contra el ataque.....................................................................................13
AGUJERO DE SEGURIDAD.....................................................................................13
Tipos de vulnerabilidades segn la naturaleza del mismo:......................................14
Casos famosos..........................................................................................................15
EXPLOIT.....................................................................................................................15
Clasificacin............................................................................................................16
Exploit remoto......................................................................................................16
Exploit local.........................................................................................................16
Exploit ClientSide................................................................................................16
Frameworks de exploits...........................................................................................17
Exploits en los videojuegos..................................................................................17
SPOOFING..................................................................................................................17
IP Spoofing..............................................................................................................17
ARP Spoofing..........................................................................................................18
DNS Spoofing..........................................................................................................18
Web Spoofing...........................................................................................................18
Mail Spoofing..........................................................................................................19
GPS Spoofing...........................................................................................................19
SEGURIDAD POR OSCURIDAD.............................................................................19
Introduccin.............................................................................................................20
Argumentos contra la seguridad por oscuridad........................................................20
En la prctica............................................................................................................21
SISTEMA DE PREVENCIN DE INTRUSOS.........................................................22
Funcionamiento........................................................................................................22
Deteccin basada en firmas.....................................................................................23
Deteccin basada en polticas..................................................................................23
Deteccin basada en anomalas...............................................................................23
Deteccin honey pot (jarra de miel).........................................................................24
SISTEMA DE DETECCIN DE INTRUSOS...........................................................24
Funcionamiento........................................................................................................24
Tipos de IDS............................................................................................................24
HIDS (HostIDS):..................................................................................................25
NIDS (NetworkIDS):...........................................................................................25
Sistemas pasivos y sistemas reactivos.....................................................................25
Comparacin con Cortafuegos.................................................................................25
Mecanismos de deteccin de un ataque...................................................................25
Patrn...................................................................................................................25
Implementacin....................................................................................................26
ISO/IEC 27001............................................................................................................26
Evolucin.................................................................................................................26
Implantacin............................................................................................................28
Certificacin.............................................................................................................28
Otros SGSI...............................................................................................................30
ANTIVIRUS................................................................................................................31
Mtodos de contagio................................................................................................31
Seguridad y mtodos de proteccin.........................................................................31
Tipos de antivirus.....................................................................................................31
Copias de seguridad (pasivo)...................................................................................32
Planificacin.........................................................................................................32
Consideraciones de software................................................................................32
Consideraciones de la red.....................................................................................33
Formacin del usuario..........................................................................................33
Antivirus...............................................................................................................33
Firewalls...............................................................................................................34
Reemplazo de software........................................................................................34
Centralizacin y backup.......................................................................................34
Empleo de sistemas operativos ms seguros........................................................34
Temas acerca de la seguridad...............................................................................35
Sistemas operativos ms atacados...........................................................................35
Plataformas Unix, inmunes a los virus de Windows............................................36
1. SEGURIDAD INFORMTICA
La seguridad informtica o seguridad de tecnologas de la informacin es el rea de la
informtica que se enfoca en la proteccin de la infraestructura computacional y todo lo
relacionado con esta y especialmente, la informacin contenida o circulante. Para ello
existen una serie de estndares, protocolos, mtodos, reglas, herramientas y leyes
concebidas para minimizar los posibles riesgos a la infraestructura o a la informacin. La
seguridad informtica comprende software (bases de datos, metadatos, archivos), hardware
y todo lo que la organizacin valore (activo) y signifique un riesgo si esta informacin
confidencial llega a manos de otras personas, convirtindose, por ejemplo, en informacin
privilegiada.
La seguridad informtica es la disciplina que se ocupa de disear las normas,
procedimientos, mtodos y tcnicas destinados a conseguir un sistema de informacin
seguro y confiable.
Es tambin la necesidad de salvaguardar la ventaja organizacional, incluyendo
informacin y equipos fsicos, tales como los mismos computadores. Nadie a cargo de
seguridad debe determinar quin y cundo se puede tomar acciones apropiadas sobre un
tem en especfico. Cuando se trata de la seguridad de una compaa, lo que es apropiado
vara de organizacin a organizacin. Independientemente, cualquier compaa con una red
debe de tener una poltica de seguridad que se dirija a conveniencia y coordinacin.
2. LA SEGURIDAD DE LA INFORMACIN
La seguridad de la informacin es el conjunto de medidas preventivas y reactivas de
las organizaciones y de los sistemas tecnolgicos que permiten resguardar y proteger la
informacin buscando mantener la condencialidad, la disponibilidad e integridad de la
misma.
En la seguridad de la informacin es importante sealar que su manejo est basado en
la tecnologa y debemos de saber que puede ser condencial: la informacin est
centralizada y puede tener un alto valor. Puede ser divulgada, mal utilizada, ser robada,
borrada o saboteada. Esto afecta su disponibilidad y la pone en riesgo. La informacin es
poder, y segn las posibilidades estratgicas que ofrece tener acceso a cierta informacin,
sta se clasica como:
3. HACKER
El trmino hacker tiene diferentes significados. Segn el diccionario de los hackers,
es todo individuo que se dedica a programar de forma entusiasta, o sea un experto
entusiasta de cualquier tipo, que considera que poner la informacin al alcance de todos
constituye un extraordinario bien. De acuerdo a Eric Raymond el motivo principal que
tienen estas personas para crear software en su tiempo libre, y despus distribuirlos de
manera gratuita, es el de ser reconocidos por sus iguales. El trmino hacker nace en la
segunda mitad del siglo XX y su origen est ligado con los clubes y laboratorios del MIT.
En informtica, un hacker, es una persona que pertenece a una de estas comunidades
o subculturas distintas, pero no completamente independientes:
Desde que se us por primera vez la palabra Hacker sta ha sido mal utilizada, mal
interpretada y encasillada en un contexto errado, antes que nada, aclaremos que el
trmino Hacker no tiene nada que ver con actividades delictivas, si bien muchos
Hackers cometen errores, la definicin no tiene nada que ver con ello.
Por el contrario, los hackers de sombrero negro ( del ingls, black hat), tambin conocidos
como "crackers" muestran sus habilidades en informtica rompiendo sistemas de seguridad
de computadoras, colapsando servidores, entrando a zonas restringidas, infectando redes o
apoderndose de ellas, entre otras muchas cosas utilizando sus destrezas en mtodos
hacking.
En los ltimos aos, los trminos sombrero blanco y un sombrero negro han sido aplicados
a la industria del posicionamiento en buscadores (search engine optimization, SEO). Las
tcticas de posicionamiento en buscadores de los hackers de sombrero negro, tambin
llamada spamdexing, intento de redireccionar los resultados de la bsqueda a pginas de
destino particular, son una moda que est en contra de los trminos de servicio de los
motores de bsqueda, mientras que los hackers de sombrero blanco, utilizan mtodos que
son generalmente aprobados por los motores de bsqueda.
Samuri
Normalmente es alguien contratado para investigar fallos de seguridad, que investiga casos
de derechos de privacidad, est amparado por la primera enmienda estadounidense o
cualquier otra razn de peso que legitime acciones semejantes. Los samuris desdean a los
crackers y a todo tipo de vndalos electrnicos. Tambin se dedican a hacer y decir cmo
saber sobre la seguridad con sistemas en redes
Phreaker
De phone freak (monstruo telefnico). Son personas con conocimientos amplios tanto en
telfonos modulares (TM) como en telfonos mviles.
Lammer o script-kiddie
Es un trmino coloquial ingls aplicado a una persona falta de habilidades tcnicas,
generalmente no competente en la materia, que pretende obtener beneficio del hacking sin
tener los conocimientos necesarios. Su alcance se basa en a buscar y descargar programas y
herramientas de intrusin informtica, cibervandalismo, propagacin de software malicioso
para luego ejecutarlo como simple usuario, sin preocuparse del funcionamiento interno de
stos ni de los sistemas sobre los que funcionan. En muchos casos presume de
conocimientos o habilidades que no posee.
Newbie
Newbie es un alguien nuevo al hacking o al phreaking y que no posee casi nada de
conocimiento o experiencia en el manejo de tecnologa y hacking.
Otros trminos
En seguridad informtica, el trmino bluejacking se refiere a una tcnica consistente en
enviar mensajes no solicitados entre dispositivos Bluetooth, como por ejemplo telfonos
10
11
iniciar una conexin, cerrarla, indicar que una solicitud es urgente, reiniciar una
conexin, etc. Las banderas se incluyen tanto en la solicitud (cliente), como en la
respuesta (servidor).
Inundacin ICMP (ICMP Flood): Agota el ancho de banda de la vctima. Consiste en
enviar de forma continuada un nmero elevado de paquetes ICMP Echo request (ping)
de tamao considerable a la vctima, de forma que esta ha de responder con paquetes
ICMP Echo reply (pong) lo que supone una sobrecarga tanto en la red como en el
sistema de la vctima.
SMURF: El ataque Smurf, el atacante dirige paquetes ICMP tipo "echo request" (ping)
a una direccin IP de broadcast, usando como direccin IP origen, la direccin de la
vctima (Spoofing). Se espera que los equipos conectados respondan a la peticin,
usando Echo reply, a la mquina origen (vctima).
Inundacin UDP (UDP Flood): Genera grandes cantidades de paquetes UDP contra la
vctima elegida. Debido a la naturaleza sin conexin del protocolo UDP, este tipo de
ataques suele venir acompaado de IP spoofing.
b. Impacto en la Red
A nivel global, este problema ha ido creciendo, en parte por la mayor facilidad para
crear ataques y tambin por la mayor cantidad de equipos disponibles mal configurados o
con fallos de seguridad que son explotados para generar estos ataques. Se ve un aumento en
los ataques por reflexin y de amplificacin por sobre el uso de botnets.
A principios de 2014, el uso de ataques basados en protocolos UDP ha aumentado
significativamente. Actualmente ocurren importantes incidentes con ataques basados en
CHARGEN, NTP y DNS. De acuerdo al reporte de DDOS de Prolexic de Q1 2014, el
ancho de banda promedio de los ataques creci en un 39% respecto a los ataques del 2013.
Respecto del mismo trimestre del 2013, hubo un 47% de aumento en la cantidad de ataques
y un 133% de crecimiento del ancho de banda punta (peak) de los ataques.
6. ATAQUE DE DA CERO
Un ataque de da-cero (en ingls zero-day attack o 0day attack) es un ataque contra
una aplicacin o sistema que tiene como objetivo la ejecucin de cdigo malicioso gracias
al conocimiento de vulnerabilidades que, por lo general, son desconocidas para la gente y el
fabricante del producto. Esto supone que an no hayan sido arregladas. Este tipo de exploit
circula generalmente entre las filas de los potenciales atacantes hasta que finalmente es
publicado en foros pblicos. Un ataque de da cero se considera uno de los ms peligrosos
instrumentos de una guerra informtica.
12
Vas de ataque
Los que se dedican al malware son capaces de aprovecharse de estas vulnerabilidades
mediante diferentes vas de ataque. Por ejemplo, cdigos en webs que revelan
vulnerabilidades en navegadores. Los navegadores son un objetivo especial debido a su
amplia distribucin y uso. Otra forma de aprovechar estos fallos es utilizar aplicaciones que
abren ciertos documentos que revelan los fallos. Los exploits que pueden mejorar el
software se revelan en bases de datos como US-CERT. Se puede disear malware para
aprovecharse de estos exploits y conseguir informacin confidencial como contraseas
bancarias.
Proteccin
La proteccin da-cero es la habilidad de proporcionar proteccin contra exploits dacero. Por ejemplo, para limitar los ataques da-cero referentes a vulnerabilidades en
memoria, se usan tcnicas como buffer overflows. Estos mecanismos de proteccin se
pueden encontrar en sistemas operativos actuales como Microsoft Windows, Solaris,
GNU/Linux, Unix y Mac OS X.
Mediante mtodos como el "golpeo de puertos" se proporciona seguridad frente a
ataques en servicios de red, aunque estos sistemas de proteccin no suelen ser tiles para
redes con gran cantidad de usuarios.
Empresas como Gama-Sec en Israel y DataClone Labs en Reno, Nevada, ayudan a
esta proteccin mediante el Proyecto ZeroDay que proporciona informacin sobre futuros
ataques y vulnerabilidades.
Otro medio para evitar estos ataques es esperar un tiempo razonable para actualizar
una versin. Las vulnerabilidades del nuevo software suelen ser arregladas en las primeras
actualizaciones del mismo. Es recomendable actualizar el software para arreglar los
posibles fallos existentes en el software.
7. ATAQUE DE FUERZA BRUTA
En criptografa, se denomina ataque de fuerza bruta a la forma de recuperar una clave
probando todas las combinaciones posibles hasta encontrar aquella que permite el acceso.
Dicho de otro modo, define al procedimiento por el cual a partir del conocimiento del
algoritmo de cifrado empleado y de un par texto claro/texto cifrado, se realiza el cifrado
(respectivamente, descifrado) de uno de los miembros del par con cada una de las posibles
combinaciones de clave, hasta obtener el otro miembro del par. El esfuerzo requerido para
que la bsqueda sea exitosa con probabilidad mejor que la par ser 2n1 operaciones,
donde n es la longitud de la clave (tambin conocido como el espacio de claves).
Otro factor determinante en el coste de realizar un ataque de fuerza bruta es el juego
de caracteres que se pueden utilizar en la clave. Contraseas que slo utilicen dgitos
13
numricos sern ms fciles de descifrar que aquellas que incluyen otros caracteres como
letras, as como las que estn compuestas por menos caracteres sern tambin ms fciles
de descifrar, la complejidad impuesta por la cantidad de caracteres en una contrasea es
logartmica.
Los ataques por fuerza bruta, dado que utilizan el mtodo de prueba y error, son muy
costosos en tiempo computacional.
La fuerza bruta suele combinarse con un ataque de diccionario.
8. ATAQUE DE REPLAY
Un ataque de replay, tambin llamado ataque de playback, en espaol ataque de
reproduccin o ataque de reinyeccin, es una forma de ataque de red, en el cual una
transmisin de datos vlida es maliciosa o fraudulentamente repetida. Es llevada a cabo por
el autor o por un adversario que intercepta la informacin y la retransmite, posiblemente
como parte de un ataque enmascarado.
Suplantacin de identidad
Es habitual hacer un ataque de replay capturando informacin y posteriormente
reenvindola con el objetivo de suplantar la identidad de uno de los lados. Es un hecho muy
conocido que el intercambio de claves DiffieHellman en sus primeras versiones poda ser
atacado por un ataque de reinyeccin, sin embargo, esto puede evitarse con una marca
secuencial o una marca de tiempo. Actualmente, ninguna aplicacin que use el esquema de
intercambio de claves Diffie-Hellman de manera adecuada se ve afectada por este ataque en
su forma bsica (aunque cabra falsificar dicha marca o duplicarla en el ataque replay).
Denegacin de servicio
Es habitual en sistemas de encaminamiento, por ejemplo en encaminamiento de
cebolla, realizar ataques de replay capturando mensajes y luego reinyectndolos en la red
con el objetivo de sobrecargarla y que deje de funcionar (ataque de denegacin de servicio).
Para evitar este tipo de ataques es habitual que los routers detecten cuando un paquete ya ha
sido procesado (y por tanto descarten ese paquete) y que los propios mensajes tengan un
tiempo de validez que una vez agotado permita que los routers eliminen esos mensajes.
9. ATAQUE MAN-IN-THE-MIDDLE
En criptografa, un ataque man-in-the-middle o JANUS (MitM o intermediario, en
espaol) es un ataque en el que se adquiere la capacidad de leer, insertar y modificar a
voluntad, los mensajes entre dos partes sin que ninguna de ellas conozca que el enlace entre
ellos ha sido violado. El atacante debe ser capaz de observar e interceptar mensajes entre
las dos vctimas. El ataque MitM es particularmente significativo en el protocolo original
de intercambio de claves de Diffie-Hellman, cuando ste se emplea sin autenticacin
14
Salvo el Interlock Protocol, todos los sistemas criptogrficos seguros frente a ataques
MitM requieren un intercambio adicional de datos o la transmisin de cierta informacin a
travs de algn tipo de canal seguro. En ese sentido, se han desarrollado muchos mtodos
de negociacin de claves con diferentes exigencias de seguridad respecto al canal seguro.
El ataque MitM puede incluir algunos de los siguientes subataques:
Ataques de sustitucin.
Ataques de repeticin.
15
Claves pblicas
La integridad de las claves pblicas debe asegurarse de alguna manera, pero stas no
exigen ser secretas, mientras que los passwords y las claves de secreto compartido tienen el
requerimiento adicional de la confidencialidad. Las claves pblicas pueden ser verificadas
por una autoridad de certificacin (CA), cuya clave pblica sea distribuida a travs de un
canal seguro (por ejemplo, integrada en el navegador web o en la instalacin del sistema
operativo).
10. AGUJERO DE SEGURIDAD
Un agujero de seguridad es una vulnerabilidad de un sistema de informacin que
permite mediante su explotacin violar la seguridad del sistema.
Tipos de vulnerabilidades segn la naturaleza del mismo:
De software.
Inyeccin SQL
Desbordamiento de buffer
Clickjacking
Condiciones de Carrera
Cross-site scripting
16
De hardware
En el tiempo de vida de una vulnerabilidad podemos distinguir los siguientes hitos o etapas
importantes:
Nacimiento.- Durante el proceso de desarrollo del producto por parte del proveedor (Ej el
vendedor o una comunidad de desarrolladores software), se introducen una serie de
defectos. Estos defectos pueden ser de diseo, implementacin o de gestin. Algunos de
esos defectos pueden convertirse en riesgos para la seguridad del producto y por tanto para
la seguridad del usuario del producto. Un defecto se convierte en una vulnerabilidad si hace
que el comportamiento del sistema sea tal que pueda ser aprovechado para conseguir
acceso no autorizado, elevacin de privilegios, denegacin de servicio o cualquier otra
forma de romper la seguridad del sistema. No se considerar vulnerabilidades que son
detectadas y corregidas antes del despliegue.
Descubrimiento.- Este hito ocurre cuando se tiene conocimiento de la existencia de la
vulnerabilidad. Si la vulnerabilidad es creada intencionadamente entonces el nacimiento y
el descubrimiento ocurren simultneamente. Se llama descubridor a la primera persona que
revela un defecto y determina que ese defecto es una vulnerabilidad. Si el descubridor no es
conocido se dice que es annimo.
Comunicacin de la vulnerabilidad.- Este hito ocurre una vez que el descubridor revela la
vulnerabilidad a alguien ms. Esta transferencia de informacin puede ser de distintos tipos.
Ejemplos: completa y pblica va (revelacin completa) o comunicacin privada entre
hackers. Se llama originador (en ingls originator) o revelador (en ingls discloser) a la
persona u organizacin que informa de la vulnerabilidad a el proveedor del producto.
Observar que el descubridor y el originador pueden ser personas distintas.
Correccin.- Ocurre cuando el vendedor del producto analiza la vulnerabilidad, localiza
cual es el problema, y lanza una versin al pblico que resuelve la vulnerabilidad.
Publicitacin.- Es cuando el conocimiento de la vulnerabilidad se extiende a una audiencia
importante dndole publicidad.
Automatizacin de explotacin.- Es cuando a partir de la vulnerabilidad se crea una
herramienta o script que automatiza la explotacin de la vulnerabilidad. A esta herramienta
o script se le llama exploit. De esta forma se permite que no slo expertos sobre el tema
17
(hackers) puedan vulnerar la seguridad. De esta forma se tiene una herramienta que permite
a otros usuarios inexpertos (script kiddies) vulnerarla.
Muerte.- Ocurre cuando el nmero de sistemas vulnerables al exploit es insignificante.
Esto puede haber sucedido porque el sistema ha sido retirado, el sistema ha sido arreglado
mediante algn parche, o porque los hackers no tienen inters en explotarla.
Casos famosos
En junio de 2005, un servidor de mantenimiento de tarjetas de crdito, fue crackeado
por un grupo de personas, aprovechando un error en el cdigo de verificacin. Esto gener
prdidas por 10.000.000 de dlares estadounidenses.
El FBI, sufri un ataque de un usuario que us cuentas de correo, obtuvo contraseas
y otros datos de relevancia, a travs de un puerto que estaba abierto en el cdigo web.
En Windows 98, ciertas contraseas de usuario se exponen en las carpetas, que
pueden ser ledas en MS-DOS
11. EXPLOIT
Exploit (del ingls to exploit, explotar o aprovechar) es un fragmento de software,
fragmento de datos o secuencia de comandos y/o acciones, utilizada con el fin de
aprovechar una vulnerabilidad de seguridad de un sistema de informacin para conseguir
un comportamiento no deseado del mismo. Ejemplos de comportamiento errneo: Acceso
de forma no autorizada, toma de control de un sistema de cmputo, consecucin privilegios
no concedidos lcitamente, consecucin de ataques de denegacin de servicio. Hay que
observar que el trmino no se circunscribe a piezas de software, por ejemplo cuando
lanzamos un ataque de ingeniera social, el ardid o discurso que preparamos para convencer
a la vctima tambin se considera un exploit. Y poder as capturar cierta informacin de la
vctima a travs de este tipo de ataque.
Los exploits pueden tomar forma en distintos tipos de software, como por ejemplo
scripts, virus informticos o gusanos informticos.
11.1.
Clasificacin
18
Exploit local.
Si para ejecutar el exploit se necesita tener antes acceso al sistema vulnerable. Por
ejemplo el exploit puede aumentar los privilegios del que lo ejecuta. Este tipo de exploits
tambin puede ser utilizado por un atacante remoto que ya tiene acceso a la mquina local
mediante un exploit remoto.
Exploit ClientSide.
Aprovechan vulnerabilidades de aplicaciones que tpicamente estn instaladas en
gran parte de las estaciones de trabajo de las organizaciones. Ejemplos tpicos de este tipo
de software son aplicaciones ofimticas (Ej. Microsoft Office, Open Office), lectores de
PDF (Ej. Adobe Acrobat Reader), navegadores (Ej. Internet Explorer, Firefox, Chrome,
Safari), reproductores multimedia (Ej. Windows Media Player, Winamp, iTunes). El exploit
est dentro de ficheros interpretados por este tipo de aplicaciones y que llega a la mquina
objetivo por distintos medios (Ej email o pendrive). El archivo ser usado por el programa
y si no es detenido por ningn otro programa (Ej. firewall o antivirus) aprovechar la
vulnerabilidad de seguridad. Las peculiaridades de este tipo de ataques son:
Requieren la intervencin del usuario del lado del cliente. Por ejemplo necesitan
que abra cierto archivo o que haga click en cierto link
Curiosidad
Fama personal
Beneficio personal
Espionaje
11.2.
Frameworks de exploits
Los frameworks de exploits son paquetes software de apoyo que contienen mdulos
que ayudan para la construccin de exploits. Estos frameworks permiten la reutilizacin del
cdigo, la estandarizacin de los exploits y la simplificacin del proceso de ataques.
Ejemplos de este tipo de frameworks: Metasploit Framework, Core Impact, Inmunity
Canvas
19
11.3.
20
21
Mail Spoofing
Suplantacin en correo electrnico de la direccin de correo electrnico de otras
personas o entidades. Esta tcnica es usada con asiduidad para el envo de mensajes de
correo electrnico hoax como suplemento perfecto para el uso de suplantacin de identidad
y para SPAM, es tan sencilla como el uso de un servidor SMTP configurado para tal fin.
Para protegerse se debera comprobar la IP del remitente (para averiguar si realmente esa ip
pertenece a la entidad que indica en el mensaje) y la direccin del servidor SMTP utilizado.
Las medidas recomendadas para prevenir estos ataques son crear registros SPF y firmas
digitales DKIM.
GPS Spoofing
Un ataque de GPS spoofing intenta engaar a un receptor de GPS transmitiendo una
seal ligeramente ms poderosa que la recibida desde los satlites del sistema GPS,
estructurada para parecerse a un conjunto normal de seales GPS. Sin embargo estas
seales estn modificadas de tal forma de que causarn que el receptor determine una
posicin diferente a la real, especficamente algn lugar determinado por la seal atacante.
Debido a que el sistema GPS trabaja midiendo el tiempo que le toma a una seal el viajar
entre el satlite y el receptor, un spooging exitoso requiere que el atacante conozca con
precisin donde se encuentra el blanco de tal forma que la seal falsa pueda ser
estructurada con el retraso apropiado.
Un ataque de GPS spoofing comienza con la transmisin de una seal ligeramente
ms poderosa que la que entrega la posicin correcta, y luego se comienza a desviar
lentamente hacia la posicin deseada por el atacante, ya que si esto se hace demasiado
rpido el receptor atacado perder la fijacin en la seal, en cuyo momento el ataque de
spoofing slo funcionara como un ataque de perturbacin. Se ha sugerido que la captura de
un Lockheed RQ-170 en el noreste de Irn en diciembre de 2011, fue el resultado de un
ataque de este tipo. Previamente los ataques de GPS spoofing haban sido predichos y
discutidos en la comunidad GPS, pero an no han sido confirmado un ejemplo conocido de
un ataque de spoofing malicioso.
13. SEGURIDAD POR OSCURIDAD
En criptografa y seguridad informtica, la seguridad por oscuridad o por ocultacin
es un controvertido principio de ingeniera de la seguridad, que intenta utilizar el secreto
(de diseo, de implementacin, etc.) para garantizar la seguridad. Este principio se puede
plasmar en distintos aspectos como por ejemplo:
22
23
En la prctica
Los operadores, desarrolladores y vendedores de sistemas que confan en la seguridad
por oscuridad a menudo mantienen en secreto que sus sistemas tienen fallos, para evitar
crear desconfianza en sus servicios o productos y por tanto, en su imagen de mercado. Es
posible que esto pudiera conducir en algunos casos a una representacin fraudulenta de la
seguridad de sus productos, aunque la aplicacin de la ley a este respecto ha sido poco
contundente, en parte porque las condiciones de uso impuestas por los vendedores como
parte del contrato de licencia redimen (con ms o menos xito) sus aparentes obligaciones
bajo el estatuto legal de muchas jurisdicciones que requieren una adecuacin para el uso o
estndares de calidad similares.
Estas prcticas de seguridad dejan a los usuarios frente a problemas cuando el
software que usan est deliberada o accidentalmente ocultado, como ha ocurrido otras
veces:
Diebold software de voto electrnico; publicacin aparentemente accidental en un sitio
web oficial.
Microsoft Windows y otros; penetracin supuestamente deliberada en una red de
desarrollo corporativa.
RSADSI algoritmos criptogrficos; cdigo de RC4 probablemente publicado con
intencin en Usenet.
Cisco sistema operativo de enrutadores; exposicin accidental en una red corporativa.
Cuando se usa software seguro por estar oculto de manera amplia, existe un riesgo
potencial de problema global; por ejemplo, vulnerabilidades en las diferentes versiones del
sistema operativo Windows, sus componentes obligatorios como su navegador web Internet
Explorer o sus aplicaciones de correo electrnico (Microsoft Outlook/Outlook Express) han
causado problemas a lo largo y ancho del planeta cuando virus, troyanos, gusanos y dems
se han aprovechado de ellas. Vase seguridad en Windows o seguridad en Internet Explorer.
Del software que es deliberadamente lanzado como software de cdigo abierto no
puede decirse ni en la teora ni en la prctica que se apoya en la seguridad por oscuridad, ya
que el diseo est disponible pblicamente, pero puede tambin experimentar
vulnerabilidades de seguridad.
14. SISTEMA DE PREVENCIN DE INTRUSOS
Un sistema de prevencin de intrusos (o por sus siglas en ingls IPS) es un software
que ejerce el control de acceso en una red informtica para proteger a los sistemas
computacionales de ataques y abusos. La tecnologa de prevencin de intrusos es
considerada por algunos como una extensin de los sistemas de deteccin de intrusos
24
(IDS), pero en realidad es otro tipo de control de acceso, ms cercano a las tecnologas
cortafuegos.
Los IPS fueron inventados de forma independiente por Jed Haile y Vern Paxon para
resolver ambigedades en la monitorizacin pasiva de redes de computadoras, al situar
sistemas de detecciones en la va del trfico. Los IPS presentan una mejora importante
sobre las tecnologas de cortafuegos tradicionales, al tomar decisiones de control de acceso
basados en los contenidos del trfico, en lugar de direcciones IP o puertos. Tiempo despus,
algunos IPS fueron comercializados por la empresa One Secure, la cual fue finalmente
adquirida por NetScreen Technologies, que a su vez fue adquirida por Juniper Networks en
2004. Dado que los IPS fueron extensiones literales de los sistemas IDS, continan en
relacin.
Tambin es importante destacar que los IPS pueden actuar al nivel de equipo, para
combatir actividades potencialmente maliciosas.
Funcionamiento
Un Sistema de Prevencin de Intrusos o Intrusion Prevention System (IPS en sus
siglas en ingls), es un dispositivo de seguridad de red que monitorea el trfico de red y/o
las actividades de un sistema, en busca de actividad maliciosa. Entre sus principales
funciones, se encuentran no slo la de identificar la actividad maliciosa, sino la de intentar
detener esta actividad. Siendo sta ltima una caracterstica que distingue a este tipo de
dispositivos de los llamados Sistemas de Deteccin de Intrusos o Intrusion Detection
Systems (IDS en sus siglas en ingls).
Entre otras funciones (como en el caso del IDS) se tiene que puede alertar al
administrador ante la deteccin de intrusiones o actividad maliciosa, mientras que es
exclusivo de un Sistema de Prevencin de Intrusos (IPS) establecer polticas de seguridad
para proteger al equipo o a la red de un ataque.
De ah que se diga que un IPS protege a una red o equipo de manera proactiva
mientras que un IDS lo hace de manera reactiva.
Otras funciones importantes de estos dispositivos de red, son las de grabar
informacin histrica de esta actividad y generar reportes.
Los IPS se clasifican en cuatro diferentes tipos:
1. Basados en Red Lan (NIPS): monitorean la red lan en busca de trfico de red
sospechoso al analizar la actividad por protocolo de comunicacin lan.
2. Basados en Red Wireless (WIPS): monitorean la red ialmbrica en busca de trfico
sospechoso al analizar la actividad por protocolo de comunicacin inalmbrico.
25
26
monitorizar los mtodos utilizados por el atacante e incluso identificarlo, y de esa forma
implementar polticas de seguridad acordes en nuestros sistemas de uso real.
15. SISTEMA DE DETECCIN DE INTRUSOS
Un sistema de deteccin de intrusiones (o IDS de sus siglas en ingls Intrusion
Detection System) es un programa de deteccin de accesos no autorizados a un computador
o a una red.
El IDS suele tener sensores virtuales (por ejemplo, un sniffer de red) con los que el
ncleo del IDS puede obtener datos externos (generalmente sobre el trfico de red). El IDS
no detecta, gracias a dichos sensores, las anomalas que pueden ser indicio de la presencia
de ataques y falsas alarmas.
15.1.
Funcionamiento
Tipos de IDS
27
Un IDS usa alguna de las dos siguientes tcnicas para determinar que un ataque se
encuentra en curso:
Patrn
Un IDS basado en patrones, analiza paquetes en la red, y los compara con patrones de
ataques conocidos, y preconfigurados. Estos patrones se denominan firmas. Debido a esta
tcnica, existe un periodo de tiempo entre el descubrimiento del ataque y su patrn, hasta
que este es finalmente configurado en un IDS. Durante este tiempo, el IDS ser incapaz de
identificar el ataque.
Heurstica Un IDS basado en heurstica, determina actividad normal de red, como el
orden de ancho de banda usado, protocolos, puertos y dispositivos que generalmente se
interconectan, y alerta a un administrador o usuario cuando este vara de aquel considerado
como normal, clasificndolo como anmalo.
28
Implementacin
Para poner en funcionamiento, un sistema de deteccin de intrusos se debe tener en
cuenta que es posible optar por una solucin hardware, software o incluso una combinacin
de estos dos. La posibilidad de introducir un elemento hardware es debido al alto
requerimiento de procesador en redes con mucho trfico. A su vez los registros de firmas y
las bases de datos con los posibles ataques necesitan gran cantidad de memoria, aspecto a
tener en cuenta.
En redes es necesario considerar el lugar de colocacin del IDS. Si la red est
segmentada con hub (capa 1 del modelo OSI) no hay problema en analizar todo el trfico
de la red realizando una conexin a cualquier puerto. En cambio, si se utiliza un switch
(capa 2 del modelo OSI) , es necesario conectar el IDS a un puerto SPAN ( Switch Port
Analiser) para poder analizar todo el trfico de esta red.
16. ISO/IEC 27001
ISO/IEC27001 es un estndar para la seguridad de la informacin (Information
technology - Security techniques Information security management systems Requirements) aprobado y publicado como estndar internacional en octubre de 2005 por
International Organization for Standardization y por la comisin International
Electrotechnical Commission.
Especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un
sistema de gestin de la seguridad de la informacin (SGSI) segn el conocido como Ciclo
de Deming: PDCA - acrnimo de Plan, Do,
Check, Act (Planificar, Hacer, Verificar, Actuar). Es consistente con las mejores prcticas
descritas en ISO/IEC 27002, anteriormente conocida como ISO/IEC 17799 , con orgenes
en la norma BS 7799-2:2002, desarrollada por la entidad de normalizacin britnica, la
British Standards Institution (BSI).
Evolucin
Espaa: En el ao 2004 se public la UNE 71502 titulada Especificaciones para los
Sistemas de Gestin de la Seguridad de la Informacin (SGSI) y que fue elaborada por el
comit tcnico AEN/CTN 71. Es una adaptacin nacional de la norma britnica British
Standard BS 7799-2:2002.
Con la publicacin de UNE-ISO/IEC 27001 (traduccin al espaol del original ingls) dej
de estar vigente la UNE 71502 y las empresas nacionales certificadas en esta ltima estn
pasando progresivamente sus certificaciones a UNE-ISO/IEC 27001.
ISO 27001:2013
29
Existen varios cambios con respecto a la versin 2005 en esta versin 2013. Entre ellos
destacan:
30
Nota: las organizaciones que simplemente cumplen la norma ISO/IEC 27001 o las
recomendaciones de la norma del cdigo profesional, ISO/IEC 27002 no logran esta
ventaja
Implantacin
La implantacin de ISO/IEC 27001 en una organizacin es un proyecto que suele
tener una duracin entre 6 y 12 meses, dependiendo del grado de madurez en seguridad de
la informacin y el alcance, entendiendo por alcance el mbito de la organizacin que va a
estar sometido al Sistema de Gestin de la Seguridad de la Informacin elegido. En general,
es recomendable la ayuda de consultores externos.
Aquellas organizaciones que hayan adecuado previamente de forma rigurosa sus
sistemas de informacin y sus procesos de trabajo a las exigencias de las normativas legales
de proteccin de datos (p.ej., en Espaa la conocida LOPD y sus normas de desarrollo,
siendo el ms importante el Real Decreto 1720/2007, de 21 de diciembre de desarrollo de la
Ley Orgnica de Proteccin de Datos) o que hayan realizado un acercamiento progresivo a
la seguridad de la informacin mediante la aplicacin de las buenas prcticas de ISO/IEC
27002, partirn de una posicin ms ventajosa a la hora de implantar ISO/IEC 27001.
El equipo de proyecto de implantacin debe estar formado por representantes de
todas las reas de la organizacin que se vean afectadas por el SGSI, liderado por la
direccin y asesorado por consultores externos especializados en seguridad informtica
generalmente Ingenieros o Ingenieros Tcnicos en Informtica, derecho de las nuevas
tecnologas, proteccin de datos y sistemas de gestin de seguridad de la informacin (que
hayan realizado un curso de implantador de SGSI).
Certificacin
La certificacin de un SGSI es un proceso mediante el cual una entidad de
certificacin externa, independiente y acreditada audita el sistema, determinando su
conformidad con ISO/IEC 27001, su grado de implantacin real y su eficacia y, en caso
positivo, emite el correspondiente certificado.
Antes de la publicacin del estndar ISO 27001, las organizaciones interesadas eran
certificadas segn el estndar britnico BS 7799-2.
Desde finales de 2005, las organizaciones ya pueden obtener la certificacin ISO/IEC
27001 en su primera certificacin con xito o mediante su recertificacin trienal, puesto que
la certificacin BS 7799-2 ha quedado reemplazada.
El Anexo C de la norma muestra las correspondencias del Sistema de Gestin de la
Seguridad de la Informacin (SGSI) con el Sistema de Gestin de la Calidad segn ISO
9001:2000 y con el Sistema de Gestin Medio Ambiental segn ISO 14001:2004 (ver ISO
14000), hasta el punto de poder llegar a certificar una organizacin en varias normas y con
base en un sistema de gestin comn.
31
Serie 27000
La seguridad de la informacin tiene asignada la serie 27000 dentro de los estndares
ISO/IEC:
ISO 27000: Publicada en mayo de 2009. Contiene la descripcin general y vocabulario a
ser empleado en toda la serie 27000. Se puede utilizar para tener un entendimiento ms
claro de la serie y la relacin entre los diferentes documentos que la conforman.
UNE-ISO/IEC 27001:2007 Sistemas de Gestin de la Seguridad de la Informacin
(SGSI). Requisitos. Fecha de la de la versin espaola 29 noviembre de 2007. Es la norma
principal de requisitos de un Sistema de Gestin de Seguridad de la Informacin. Los
SGSIs debern ser certificados por auditores externos a las organizaciones. En su Anexo A,
contempla una lista con los objetivos de control y controles que desarrolla la ISO 27002
(anteriormente denominada ISO 17799).
ISO/IEC 27002: (anteriormente denominada ISO 17799). Gua de buenas prcticas que
describe los objetivos de control y controles recomendables en cuanto a seguridad de la
informacin con 11 dominios, 39 objetivos de control y 133 controles.
ISO/IEC 27003: En fase de desarrollo; probable publicacin en 2009. Contendr una gua
de implementacin de SGSI e informacin acerca del uso del modelo PDCA y de los
requisitos de sus diferentes fases. Tiene su origen en el anexo B de la norma BS 7799-2 y
en la serie de documentos publicados por BSI a lo largo de los aos con recomendaciones y
guas de implantacin.
ISO 27004: Publicada en diciembre de 2009. Especifica las mtricas y las tcnicas de
medida aplicables para determinar la eficiencia y eficacia de la implantacin de un SGSI y
de los controles relacionados.
ISO 27005: Publicada en junio de 2008. Consiste en una gua para la gestin del riesgo de
la seguridad de la informacin y sirve, por tanto, de apoyo a la ISO 27001 y a la
implantacin de un SGSI. Incluye partes de la ISO 13335.
ISO 27006: Publicada en febrero de 2007. Especifica los requisitos para acreditacin de
entidades de auditora y certificacin de sistemas de gestin de seguridad de la informacin.
ISO/IEC 27001:2005 Information technology Security techniques Information
security management systems - Requirements
ISO/IEC 27005:2008 Information technology Security techniques Information
security risk management
ISO/IEC 27006:2007 Information technology Security techniques Requirements for
bodies providing audit and certification of information security management systems
32
33
17. ANTIVIRUS
En informtica los antivirus son programas cuyo objetivo es detectar o eliminar virus
informticos. Nacieron durante la dcada de 1980. Con el transcurso del tiempo, la
aparicin de sistemas operativos ms avanzados e internet, ha hecho que los antivirus hayan
evolucionado hacia programas ms avanzados que no slo buscan detectar virus
informticos, sino bloquearlos, desinfectar archivos y prevenir una infeccin de los
mismos. Actualmente son capaces de reconocer otros tipos de malware, como spyware,
gusanos, troyanos, rootkits, etc.
17.1.
Mtodos de contagio
Existen dos grandes grupos de propagacin: los virus cuya instalacin el usuario, en
un momento dado, ejecuta o acepta de forma inadvertida; y los gusanos, con los que el
programa malicioso acta replicndose a travs de las redes.
En cualquiera de los dos casos, el sistema operativo infectado comienza a sufrir una
serie de comportamientos anmalos o no previstos. Dichos comportamientos son los que
dan la traza del problema y tienen que permitir la recuperacin del mismo.
Dentro de las contaminaciones ms frecuentes por interaccin del usuario estn las
siguientes:
17.2.
Los mtodospara contenero reducirlosriesgos asociados a los virus pueden ser los
denominados activos o pasivos.
17.3.
Tipos de antivirus
Slo deteccin: son vacunas que slo actualizan archivos infectados, sin embargo,
no pueden eliminarlos o desinfectarlos.
34
Comparacin por firmas: son vacunas que comparan las firmas de archivos
sospechosos para saber si estn infectados.
Comparacin de firmas de archivo: son vacunas que comparan las firmas de los
atributos guardados en tu equipo.
Por mtodos heursticos: son vacunas que usan mtodos heursticos para comparar
archivos.
17.4.
35
2.
3.
4.
5.
Disponer de una visin clara del funcionamiento de la red permite poner puntos de
verificacin de filtrado y deteccin ah donde la incidencia es ms claramente identificable.
Sin perder de vista otros puntos de accin es conveniente:
1. Mantener al mximo el nmero de recursos de red en modo de slo lectura. De
esta forma se impide que computadoras infectadas los propaguen.
2. Centralizar los datos. De forma que detectores de virus en modo batch puedan
trabajar durante la noche.
3. Realizar filtrados de firewall de red. Eliminar los programas que comparten datos,
como pueden ser los P2P; Mantener esta poltica de forma rigurosa, y con el
consentimiento de la gerencia.
4. Reducir los permisos de los usuarios al mnimo, de modo que slo permitan el
trabajo diario.
5. Controlar y monitorizar el acceso a Internet. Para poder detectar en fases de
recuperacin cmo se ha introducido el virus, y as determinar los pasos a seguir.
Formacin del usuario
Esta es la primera barrera de proteccin de la red.
36
Antivirus
Es conveniente disponer de una licencia activa de antivirus. Dicha licencia se
emplear para la generacin de discos de recuperacin y emergencia. Sin embargo, no se
recomienda en una red el uso continuo de antivirus.
El motivo radica en la cantidad de recursos que dichos programas obtienen del
sistema, reduciendo el valor de las inversiones en hardware realizadas. Aunque si los
recursos son suficientes, este extra de seguridad puede ser muy til.
Sin embargo, los filtros de correos con detectores de virus son imprescindibles, ya
que de esta forma se asegurar una reduccin importante de elecciones de usuarios no
entrenados que pueden poner en riesgo la red.
Firewalls
Filtrar contenidos y puntos de acceso. Eliminar programas que no estn relacionados
con la actividad. Tener monitorizado los accesos de los usuarios a la red, permite asimismo
reducir la instalacin de software que no es necesario o que puede generar riesgo para la
continuidad del negocio. Su significado es barrera de fuego y no permite que otra persona
no autorizada tenga acceso desde otro equipo al tuyo.
Reemplazo de software
Los puntos de entrada en la red la mayora de las veces son el correo, las pginas web, y la
entrada de ficheros desde discos, o de computadoras ajenas a la empresa.
Muchas de estas computadoras emplean programas que pueden ser reemplazados por
alternativas ms seguras.
Es conveniente llevar un seguimiento de cmo distribuyen bancos, y externos el software,
valorar su utilidad.
Centralizacin y backup
La centralizacin de recursos y garantizarel backup delos datos es otra de las pautas
fundamentales en la poltica de seguridad recomendada.
La generacin de inventarios de software, centralizacin del mismo y la capacidad de
generar instalaciones rpidas proporcionan mtodos adicionales de seguridad.
Es importante tener localizado dnde se sita la informacin en la empresa. De esta
forma podemos realizar las copias de seguridad de forma adecuada.
Control o separacin de la informtica mvil, dado que esta est ms expuesta a las
contingencias de virus.
37
17.5.
38
algunos intentos que ms que presentarse como amenazas reales no han logrado el grado de
dao que causa un virus en plataformas Windows.
Plataformas Unix, inmunes a los virus de Windows
Un virus informtico slo atacar la plataforma para la que fue desarrollado.
39