PRODUCTO ACADMICO N 02

Disea una propuesta de implementacin de controles de acceso, identificacin,

autenticacin y prevencin de ingeniera social en una empresa de desarrollo de software.
Desarrollar el producto acadmico en un archivo Word, utilizando las lecturas y recursos de
la unidad, puede incluir grficos, imgenes y todo recurso que considere conveniente.
Realizar la presentacin del archivo en formato Word o PDF, mediante el enlace del campus
virtual.

INSTRUCCIONES:

A) Proponga una mejora o control en la tcnica de identificacin y

autenticacin de los desarrolladores al ingresar a las oficinas.
Cada usuario de un sistema automatizado debe de ser identificado de manera nica, y el
acceso del usuario as como su actividad en los sistemas debe de ser controlado,
monitoreado y revisado tambin el acceso a la informacin debe limitarse a lo mnimo
indispensable para cumplir con el trabajo asignado. Las excepciones deben ser analizadas y
aprobadas por el rea de seguridad informtica. Esto incluye tanto acceso fsico como lgico
a los recursos de informacin de la empresa
Desde el punto de vista de la eficiencia es conveniente que los usuarios sean identificados y
autenticados una sola vez, pudiendo a partir de ah acceder a todas las aplicaciones y datos
que su perfil permita, ya sea en local o remoto. Esto se denomina SINGLE LOGIN o
SINCRONIZACIN DE PASSWORDS. Una de las posibles tcnicas para implementar esta
nica identificacin sera la utilizacin de servidores de autenticacin sobre el que se
identifican los usuarios y que se encarga luego de autenticar al usuario sobre los restantes
equipos. Este servidor no tiene que ser necesariamente un solo equipo y puede tener sus
funciones distribuidas geogrficamente de acuerdo a los requerimientos de carga de tarea
( LDAP o ACTIVE DIRECTORY).

Con

este

complemento,

los

administradores no
slo

pueden

llenar una lista de

sus usuarios BPM con la autenticacin LDAP o desde un servidor de Active Directory,
tambin puede llenar los campos del perfil de usuario de estos servidores.
Al igual que LDAP y Active Directory, ProcessMaker permite a los usuarios de BPM separarse
en grupos (como supervisores, usuarios, administradores u otros grupos personalizados) o
departamentos

(como

de

Ventas,

Operaciones,

Recursos

Humanos

de

otros

departamentos de la jerarqua de la organizacin).

Todos los sistemas deben proveer pistas de auditoria del ingreso a los sistemas y
violaciones de los mismos. A partir de estos datos, los custodios de los sistemas deben
elaborar reportes peridicos los cuales deben ser revisados por el rea de seguridad
informtica

B) Proponga una mejora en el control de acceso para el cdigo fuente y de las estaciones de
trabajo de los desarrolladores.

Control de cdigo fuente es un sistema que ayuda a administrar los archivos de cdigo de
fuente compartidos por un equipo. Control de cdigo de fuente permite que muchas
personas trabajen en el mismo conjunto de archivos, al tiempo que reduce el riesgo de que
una persona pueda eliminar por descuido los cambios realizados por otra en un archivo.
Un mtodo para detectar modificaciones en un archivo, llamado Cdigo de Deteccin de
Manipulacin (MDC) o funcin de clculo (hash function) de una va. Esta funcin es llamada
as porque no hay dos salidas que puedan producir el mismo valor. Los datos de un archivo
se usan como entrada de la funcin para producir un valor calculado. Si se modifican los
datos de un archivo, ste tendr un valor calculado diferente. Las funciones de clculo de
una va pueden implementarse con bastante eficiencia y posibilitan la integridad de las
verificaciones.
Manipulacin (MDC). La diferencia entre la utilizacin de MAC o de MDC est relacionada
directamente con lo que se haya especificado: integridad o integridad y confidencialidad. Si
se elige slo integridad se utilizar un MAC basado en la criptografa. Si se elige integridad y
confidencialidad, el ICV puede ser un cdigo de deteccin de manipulacin no basado en la
criptografa (MDC), tal como un XOR o una suma de control, o puede estar basado en la
criptografa, tal como el MAC. No es preciso que se base en la criptografa, ya que la
totalidad del contenido estar cifrado porque se ha elegido tambin la confidencialidad. Si
slo se elige confidencialidad no hay campo de ICV.
Si se especifica integridad de datos (Integ = verdadero) para una asociacin criptogrfica,
un ICV proteger todas las SE TPDU. El cdigo de autenticacin de mensaje (MAC) se
transporta en el parmetro ICV y se produce como el ltimo campo de la SE TPDU. El ICV
se calcula en los contenidos protegidos y en la TPDU encapsulada. Si se
Especifica confidencialidad (Conf = Verdadero) adems de integridad, el cdigo de deteccin
de manipulacin (MDC) o el MAC basado en la criptografa se calculan antes del cifrado. En
los contenidos protegidos se colocar, si hace falta, un relleno de integridad de modo que la
longitud del contenido protegido (incluido el campo de contenido protegido) sea un mltiplo
entero del tamao del bloque de ICV (Atributo ICV_Blk de la SA). El contenido del relleno
de integridad se pasar por alto en recepcin. Vase la Figura 5.

La funcin de comprobacin de integridad y la longitud del campo de ICV son atributos de la

asociacin de seguridad. Al recibirse una SE TPDU en una asociacin de seguridad con
proteccin de integridad, el campo de ICV se verificar calculando un valor de comprobacin
de integridad de prueba en los contenidos protegidos y el conjunto de TPDU encapsuladas.
Si la asociacin de seguridad identificada por el SA-ID no est disponible o el valor de
comprobacin de integridad de prueba no es igual al campo de ICV, deber descartarse
toda la SE TPDU.
NOTA El fallo de la comprobacin del ICV es un evento relacionado con la seguridad; no
obstante, las acciones ulteriores al respecto quedan fuera del mbito de la presente
Recomendacin | Norma Internacional (por ejemplo, el relleno de informes de auditora). Si
se requiere tambin descifrado, la verificacin del valor de comprobacin de integridad se
efectuar tras el descifrado. La Figura 6 describe la integridad y la confidencialidad.

C) Indique un listado de tres posibles amenazas de ingeniera social que pueden ser
vctimas los desarrolladores.
La ingeniera social, la ciencia y arte de hackear a seres humanos, ha aumentado su
popularidad en los ltimos aos gracias al crecimiento de las redes sociales, los correos
electrnicos y dems formas de comunicacin online. En el sector de la seguridad TI, este
trmino se utiliza para hacer referencia a una serie de tcnicas que usan los criminales para
manipular a sus vctimas con el fin de obtener informacin confidencial o para convencerlos
de realizar algn tipo de accin que comprometa su sistema.

El personal de administracin y TI de una compaa debe desarrollar y ayudar a

implementar una directiva de seguridad efectiva en la organizacin. En ocasiones, el centro
de atencin de una directiva de seguridad son los controles tecnolgicos que le ayudarn a
protegerse frente a amenazas tecnolgicas, como virus y gusanos. Los controles
tecnolgicos ayudan a defender las tecnologas, como archivos de datos, archivos de
programas y sistemas operativos. Las defensas frente a la ingeniera social deben ayudar a
anticipar los posibles ataques genricos de ingeniera social contra los empleados.

1. Introduccin en el sistema de malware (cdigo malicioso)

Entendemos por cdigo malicioso o daino (malware) cualquier programa,
documento o mensaje susceptible de causar daos en las redes y sistemas
informticos. As, dentro de esta definicin estaran incluidos los virus, troyanos,
gusanos, bombas lgicas, etctera.
Cabe destacar la rapidez de propagacin de estos programas dainos a travs del
correo electrnico, las conexiones mediante redes de ordenadores y los nuevos
servicios de intercambio de ficheros (P2P) o de mensajera instantnea.

2. Ataques contra los sistemas criptogrficos

Los ataques contra la seguridad de los sistemas criptogrficos persiguen descubrir las
claves utilizadas para cifrar unos determinados mensajes o documentos almacenados
en un sistema, o bien obtener determinada informacin sobre el algoritmo
criptogrfico utilizado.

3. E-mail bombing y spamming

Ambas definiciones estn relacionadas con los correos electrnicos, aunque existen
diferencias entre ambos. Mientras que el Email bombing consiste en mandar
muchsimas veces el mismo mensaje a un usuario, el spamming consiste en mandar
un mensaje a miles, e incluso, millones de usuarios, con cuentas repetidoras o con
listas de inters. Si a esto agregamos el spoofing, es decir, la alteracin de la
identidad del remitente del mensaje, se hace ms difcil an detectar quienes hacen
los ataques.

D) Proponga tres controles para prevenir las amenazas de ingeniera social propuestas en el
punto C.
1. Introduccin en el sistema de malware (cdigo malicioso)

Mantenga su computadora y su software actualizados.

Siempre que sea posible, utilice una cuenta que no sea de administrador.
Pinselo dos veces antes de hacer clic en vnculos o realizar una descarga.
Tenga precaucin al abrir archivos adjuntos o imgenes de correos electrnicos.
No confe en las ventanas emergentes que le piden que descargue software.
Limite el uso compartido de archivos.
Utilice software antivirus.

2. Ataques contra los sistemas criptogrficos

Debe disponer de un nmero muy elevado de claves posibles, de modo que sea poco
razonable intentar descifrar un mensaje por el mtodo de la fuerza bruta (probando todas
las claves).
Debe producir texto cifrado que parezca aleatorio a un test estadstico estndar.
Debe resistir todos los mtodos conocidos de romper los cdigos, es decir, debe ser
resistente al criptoanlisis.

3. E-mail bombing y spamming

Si se detecta una accin de esta ndole, (a travs del anlisis de logsticos o de

simple inspeccin), se pueden llevar a cabo los siguientes pasos:

Identificacin del origen del spamming y del bombing, para evitar el

acceso de estos paquetes a la red.

Usar programas que lean informacin de los mails para detectar si son spam y eliminarlos.

Identificar los sitios de los que se genera el spamming, y comunicarles el evento a los
dueos del sitio.

NUNCA responder o hacer un forward de un spam.

 Conclusion de ingenieria social

Hoy en da todava hay mucha gente que cae en las trampas de la ingeniera social.
Es as de triste pero sigue pasando incluso me parece que con ms intensidad que
antes. Es que los que sabemos ms o menos de seguridad y nos apasiona este
mundo estamos al da de todas las amenazas que pueden existir y sabemos
reconocer las estafas, los engaos y de la misma manera sabemos protegernos muy
bien de todo lo que hay por ah en la red. Pero el verdadero problema est en la
gente que ni tiene inters en estos temas, ni siquiera quiere aprender cosas nuevas o
algo por el estilo, me acuerdo que una amiga me pregunt un da que que era eso de
la seguridad informtica, la gente en general no tiene ni idea. Por eso es importante
que las organizaciones o las empresas formen a los empleados en temas de
proteccin y seguridad porque lo ms seguro es que no tengan conocimiento acerca
de las amenazas que existen.