MONOGRFICO: Introduccin a la seguridad informtica

SOFTWARE - General
Escrito por Elvira Mifsud
Lunes, 26 de Marzo de 2012 09:18

Indice del artculo

MONOGRFICO: Introduccin a la seguridad informtica
Seguridad
Mecanismos bsicos de seguridad
Vulnerabilidades de un sistema informtico
Polticas de seguridad
Amenazas
Nesus
Conclusin y enlaces
Todas las pginas

Cuando se habla de seguridad en el mbito de las TIC a menudo se confunden los conceptos de seguridad de la in
seguridad informtica. Y siendo ambos realmente importantes y similares, hay diferencias entre ellos.

En este artculo hablaremos sobre los conceptos de seguridad de la informacin y seguridad informtica y explicare
pilares sobre los que se basa la seguridad de la informacin.

Tambin repasaremos los elementos vulnerables de un sistema informtico, el concepto de amenaza, fuentes de am
tipos, as como las polticas de seguridad que adoptan las organizaciones para asegurar sus sistemas o minimizar e
que stas pudieran ocasionar.
Por ltimo utilizaremos una herramienta clsica dentro de la deteccin de vulnerabilidades, como es Nessus.

Seguridad de la informacin / Seguridad informtica

Existen muchas definiciones del trmino seguridad. Simplificando, y en general, podemos definir la seguridad como
"Caracterstica que indica que un sistema esta libre de todo peligro, dao o riesgo." (Villaln)

Cuando hablamos de seguridad de la informacin estamos indicando que dicha informacin tiene una relevancia es
contexto determinado y que, por tanto, hay que proteger.

La Seguridad de la Informacin se puede definir como conjunto de medidas tcnicas, organizativas y legales que pe
organizacin asegurar la confidencialidad, integridad y disponibilidad de su sistema de informacin.

Hasta la aparicin y difusin del uso de los sistemas informticos, toda la informacin de inters de una organizaci
guardaba en papel y se almacenaba en grandes cantidades de abultados archivadores. Datos de los clientes o prov
la organizacin, o de los empleados quedaban registrados en papel, con todos los problemas que luego acarreaba

almacenaje, transporte, acceso y procesado.

Los sistemas informticos permiten la digitalizacin de todo este volumen de informacin reduciendo el espacio ocu
sobre todo, facilitando su anlisis y procesado. Se gana en 'espacio', acceso, rapidez en el procesado de dicha info
mejoras en la presentacin de dicha informacin.

Pero aparecen otros problemas ligados a esas facilidades. Si es mas fcil transportar la informacin tambin hay m
posibilidades de que desaparezca 'por el camino'. Si es mas fcil acceder a ella tambin es mas fcil modificar su c
etc.

Desde la aparicin de los grandes sistemas aislados hasta nuestros das, en los que el trabajo en red es lo habitual
problemas derivados de la seguridad de la informacin han ido tambin cambiando, evolucionando, pero estn ah
soluciones han tenido que ir adaptndose a los nuevos requerimientos tcnicos. Aumenta la sofisticacin en el ataq
aumenta la complejidad de la solucin, pero la esencia es la misma.

Existen tambin diferentes definiciones del trmino Seguridad Informtica. De ellas nos quedamos con la definicin
el estndar para la seguridad de la informacin ISO/IEC 27001, que fue aprobado y publicado en octubre de 2005 p
International Organization for Standardization (ISO) y por la comisin International Electrotechnical Commission (IEC

La seguridad informtica consiste en la implantacin de un conjunto de medidas tcnicas destinadas a preservar la

confidencialidad, la integridad y la disponibilidad de la informacin, pudiendo, adems, abarcar otras propiedades, c
autenticidad, la responsabilidad, la fiabilidad y el no repudio.

Como vemos el trmino seguridad de la informacin es mas amplio ya que engloba otros aspectos relacionados con
seguridad mas all de los puramente tecnolgicos.

Seguridad de la informacin: modelo PDCA

Dentro de la organizacin el tema de la seguridad de la informacin es un captulo muy importante que requiere ded
tiempo y recursos. La organizacin debe plantearse un Sistema de Gestin de la Seguridad de la Informacin (SGS

El objetivo de un SGSI es proteger la informacin y para ello lo primero que debe hacer es identificar los 'activos de
informacin' que deben ser protegidos y en qu grado.

Luego debe aplicarse el plan PDCA ('PLAN DO CHECK ACT'), es decir Planificar, Hacer, Verificar, Actuar y v
repetir el ciclo.

Se entiende la seguridad como un proceso que nunca termina ya que los riesgos nunca se eliminan, pero se puede
De los riesgos se desprende que los problemas de seguridad no son nicamente de naturaleza tecnolgica, y por e
nunca se eliminan en su totalidad.

Un SGSI siempre cumple cuatro niveles repetitivos que comienzan por Planificar y terminan en Actuar, consiguiendo
mejorar la seguridad.

PLANIFICAR (Plan): consiste en establecer el contexto en el se crean las polticas de seguridad, se hace el anlisis
se hace la seleccin de controles y el estado de aplicabilidad

HACER (Do): consiste en implementar el sistema de gestin de seguridad de la informacin, implementar el plan de
implementar los controles .
VERIFICAR (Check): consiste en monitorear las actividades y hacer auditoras internas.

ACTUAR (Act): consiste en ejecutar tareas de mantenimiento, propuestas de mejora, acciones preventivas y accion
correctivas .

Bases de la Seguridad Informtica

Fiabilidad

Existe una frase que se ha hecho famosa dentro del mundo de la seguridad. Eugene Spafford, profesor de ciencias
informticas en la Universidad Purdue (Indiana, EEUU) y experto en seguridad de datos, dijo que el nico sistema
aquel que est apagado y desconectado, enterrado en un refugio de cemento, rodeado por gas venenoso y custodi
guardianes bien pagados y muy bien armados. An as, yo no apostara mi vida por l.

Hablar de seguridad informtica en trminos absolutos es imposible y por ese motivo se habla mas bien de fiabilida
sistema, que, en realidad es una relajacin del primer trmino.
Definimos la Fiabilidad como la probabilidad de que un sistema se comporte tal y como se espera de l.
En general, un sistema ser seguro o fiable si podemos garantizar tres aspectos:
Confidencialidad: acceso a la informacin solo mediante autorizacin y de forma controlada.
Integridad: modificacin de la informacin solo mediante autorizacin.
Disponibilidad: la informacin del sistema debe permanecer accesible mediante autorizacin.

Existe otra propiedad de los sistemas que es la Confiabilidad, entendida como nivel de calidad del servicio que se o
esta propiedad, que hace referencia a la disponibilidad, estara al mismo nivel que la seguridad. En nuestro caso ma
la Disponibilidad como un aspecto de la seguridad.

Confidencialidad

En general el trmino 'confidencial' hace referencia a "Que se hace o se dice en confianza o con seguridad recproc
o ms personas." (http://buscon.rae.es)

En trminos de seguridad de la informacin, la confidencialidad hace referencia a la necesidad de ocultar o manten

sobre determinada informacin o recursos.
El objetivo de la confidencialidad es, entonces, prevenir la divulgacin no autorizada de la informacin.

En general, cualquier empresa pblica o privada y de cualquier mbito de actuacin requiere que cierta informacin
accedida por diferentes motivos. Uno de los ejemplos mas tpicos es el del ejrcito de un pas. Adems, es sabido q
logros mas importantes en materia de seguridad siempre van ligados a temas estratgicos militares.

Por otra parte, determinadas empresas a menudo desarrollan diseos que deben proteger de sus competidores. La
sostenibilidad de la empresa as como su posicionamiento en el mercado pueden depender de forma directa de la
implementacin de estos diseos y, por ese motivo, deben protegerlos mediante mecanismos de control de acceso
aseguren la confidencialidad de esas informaciones.

Un ejemplo tpico de mecanismo que garantice la confidencialidad es la Criptografa, cuyo objetivo es cifrar o encrip
datos para que resulten incomprensibles a aquellos usuarios que no disponen de los permisos suficientes.

Pero, incluso en esta circunstancia, existe un dato sensible que hay que proteger y es la clave de encriptacin. Esta
necesaria para que el usuario adecuado pueda descifrar la informacin recibida y en funcin del tipo de mecanismo
encriptacin utilizado, la clave puede/debe viajar por la red, pudiendo ser capturada mediante herramientas disead
ello. Si se produce esta situacin, la confidencialidad de la operacin realizada (sea bancaria, administrativa o de cu
queda comprometida.

Integridad

En general, el trmino 'integridad' hace referencia a una cualidad de 'ntegro' e indica "Que no carece de ninguna de

partes." y relativo a personas "Recta, proba, intachable.".

En trminos de seguridad de la informacin, la integridad hace referencia a la la fidelidad de la informacin o recurs

normalmente se expresa en lo referente a prevenir el cambio impropio o desautorizado.
El objetivo de la integridad es, entonces, prevenir modificaciones no autorizadas de la informacin.
La integridad hace referencia a:
la integridad de los datos (el volumen de la informacin)
la integridad del origen (la fuente de los datos, llamada autenticacin)

Es importante hacer hincapi en la integridad del origen, ya que puede afectar a su exactitud, credibilidad y confianz
personas ponen en la informacin.
A menudo ocurre que al hablar de integridad de la informacin no se da en estos dos aspectos.

Por ejemplo, cuando un peridico difunde una informacin cuya fuente no es correcta, podemos decir que se mantie
integridad de la informacin ya que se difunde por medio impreso, pero sin embargo, al ser la fuente de esa informa
errnea no se est manteniendo la integridad del origen, ya que la fuente no es correcta.

Disponibilidad

En general, el trmino 'disponibilidad' hace referencia a una cualidad de 'disponible' y dicho de una cosa "Que se pu
disponer libremente de ella o que est lista para usarse o utilizarse."

En trminos de seguridad de la informacin, la disponibilidad hace referencia a que la informacin del sistema debe
permanecer accesible a elementos autorizados.

El objetivo de la disponibilidad es, entonces, prevenir interrupciones no autorizadas/controladas de los recursos info

En trminos de seguridad informtica un sistema est disponible cuando su diseo e implementacin permite delib
negar el acceso a datos o servicios determinados. Es decir, un sistema es disponible si permite no estar disponible
Y un sistema 'no disponible' es tan malo como no tener sistema. No sirve.

Como resumen de las bases de la seguridad informtica que hemos comentado, podemos decir que la seguridad co
mantener el equilibrio adecuado entre estos tres factores. No tiene sentido conseguir la confidencialidad para un arc
costa de que ni tan siquiera el usuario administrador pueda acceder a l, ya que se est negando la disponibilidad.

Dependiendo del entorno de trabajo y sus necesidades se puede dar prioridad a un aspecto de la seguridad o a otro
ambientes militares suele ser siempre prioritaria la confidencialidad de la informacin frente a la disponibilidad. Aunq
pueda acceder a ella o incluso pueda eliminarla no podr conocer su contenido y reponer dicha informacin ser ta
como recuperar una copia de seguridad (si las cosas se estn haciendo bien).

En ambientes bancarios es prioritaria siempre la integridad de la informacin frente a la confidencialidad o disponibi

considera menos daino que un usuario pueda leer el saldo de otro usuario a que pueda modificarlo.

Mecanismos bsicos de seguridad

Autenticacin

Definimos la Autenticacin como la verificacin de la identidad del usuario, generalmente cuando entra en el sistem
accede a una base de datos.

Normalmente para entrar en el sistema informtico se utiliza un nombre de usuario y una contrasea. Pero, cada ve
estn utilizando otras tcnicas mas seguras.
Es posible autenticarse de tres maneras:
1. Por lo que uno sabe (una contrasea)
2. Por lo que uno tiene (una tarjeta magntica)
3. Por lo que uno es (las huellas digitales)

La utilizacin de ms de un mtodo a la vez aumenta las probabilidades de que la autenticacin sea correcta. Pero
de adoptar mas de un modo de autenticacin por parte de las empresas debe estar en relacin al valor de la inform
proteger.

La tcnica ms usual (aunque no siempre bien) es la autenticacin utilizando contraseas. Este mtodo ser mejor
dependiendo de las caractersticas de la contrasea. En la medida que la contrasea sea ms grande y compleja p
adivinada, ms difcil ser burlar esta tcnica.

Adems, la contrasea debe ser confidencial. No puede ser conocida por nadie ms que el usuario. Muchas veces
los usuarios se prestan las contraseas o las anotan en un papel pegado en el escritorio y que puede ser ledo por
otro usuario, comprometiendo a la empresa y al propio dueo, ya que la accin/es que se hagan con esa contrase
responsabilidad del dueo.

Para que la contrasea sea difcil de adivinar debe tener un conjunto de caracteres amplio y variado (con minscula
maysculas y nmeros). El problema es que los usuarios difcilmente recuerdan contraseas tan elaboradas y utiliz
(utilizamos) palabras previsibles (el nombre, el apellido, el nombre de usuario, el grupo musical preferido,...), que fa
tarea a quin quiere entrar en el sistema sin autorizacin.

Autorizacin

Definimos la Autorizacin como el proceso por el cual se determina qu, cmo y cundo, un usuario autenticado pu
los recursos de la organizacin.

El mecanismo o el grado de autorizacin puede variar dependiendo de qu sea lo que se est protegiendo. No toda
informacin de la organizacin es igual de crtica. Los recursos en general y los datos en particular, se organizan en
cada nivel debe tener una autorizacin.

Dependiendo del recurso la autorizacin puede hacerse por medio de la firma en un formulario o mediante una cont
pero siempre es necesario que dicha autorizacin quede registrada para ser controlada posteriormente.

En el caso de los datos, la autorizacin debe asegurar la confidencialidad e integridad, ya sea dando o denegando e
lectura, modificacin, creacin o borrado de los datos.

Por otra parte, solo se debe dar autorizacin a acceder a un recurso a aquellos usuarios que lo necesiten para hace
y si no se le negar. Aunque tambin es posible dar autorizaciones transitorias o modificarlas a medida que las nec
usuario varen.

Administracin

Definimos la Administracin como la que establece, mantiene y elimina las autorizaciones de los usuarios del sistem
recursos del sistema y las relaciones usuarios-recursos del sistema.

Los administradores son responsables de transformar las polticas de la organizacin y las autorizaciones otorgada
formato que pueda ser usado por el sistema.

La administracin de la seguridad informtica dentro de la organizacin es una tarea en continuo cambio y evoluci
tecnologas utilizadas cambian muy rpidamente y con ellas los riesgos.
Normalmente todos los sistemas operativos que se precian disponen de mdulos especficos de administracin de
tambin existe software externo y especfico que se puede utilizar en cada situacin.

Auditora y registro

Definimos la Auditora como la continua vigilancia de los servicios en produccin y para ello se recaba informacin y

Este proceso permite a los administradores verificar que las tcnicas de autenticacin y autorizacin utilizadas se re
segn lo establecido y se cumplen los objetivos fijados por la organizacin.

Definimos el Registro como el mecanismo por el cual cualquier intento de violar las reglas de seguridad establecida
almacenado en una base de eventos para luego analizarlo.

Pero auditar y registrar no tiene sentido sino van acompaados de un estudio posterior en el que se analice la inform
recabada.

Monitorear la informacin registrada o auditar se puede realizar mediante medios manuales o automticos, y con un
periodicidad que depender de lo crtica que sea la informacin protegida y del nivel de riesgo.

Mantenimiento de la integridad

Definimos el Mantenimiento de la integridad de la informacin como el conjunto de procedimientos establecidos par

controlar que los archivos sufran cambios no autorizados y que la informacin enviada desde un punto llegue al des
inalterada.
Dentro de las tcnicas ms utilizadas para mantener (o controlar) la integridad de los datos estn: uso de antivirus,
y funciones 'hash'.

Vulnerabilidades de un sistema informtico

En un sistema informtico lo que queremos proteger son sus activos, es decir, los recursos que forman parte del sis
podemos agrupar en:

 Hardware: elementos fsicos del sistema informtico, tales como procesadores, electrnica y cableado de r
de almacenamiento (cabinas, discos, cintas, DVDs,...).

Software: elementos l gicos o programas que se ejecutan sobre el hardware, tanto si es el propio sistema
como las aplicaciones.
Datos: comprenden la informacin lgica que procesa el software haciendo uso del hardware. En general s
informaciones estructuradas en bases de datos o paquetes de informacin que viajan por la red.
Otros: fungibles, personas, infraestructuras,.. aquellos que se 'usan y gastan' como puede ser la tinta y pap
impresoras, los soportes tipo DVD o incluso cintas si las copias se hacen en ese medio, etc.

De ellos los mas crticos son los datos, el hardware y el software. Es decir, los datos que estn almacenados en el h
que son procesados por las aplicaciones software.

Incluso de todos ellos, el activo mas crtico son los datos. El resto se puede reponer con facilidad y los datos ... s
que dependen de que la empresa tenga una buena poltica de copias de seguridad y sea capaz de reponerlos en el
prximo al momento en que se produjo la prdida. Esto puede suponer para la empresa, por ejemplo, la dificultad o
imposibilidad de reponer dichos datos con lo que conllevara de prdida de tiempo y dinero.

Vulnerabilidad: definicin y clasificacin

Definimos Vulnerabilidad como debilidad de cualquier tipo que compromete la seguridad del sistema informtico.
Las vulnerabilidades de los sistemas informticos las podemos agrupar en funcin de:
Diseo
Debilidad en el diseo de protocolos utilizados en las redes.
Polticas de seguridad deficientes e inexistentes.
Implementacin
Errores de programacin.
Existencia de puertas traseras en los sistemas informticos.
Descuido de los fabricantes.
Uso

Mala configuracin de los sistemas informticos.

Desconocimiento y falta de sensibilizacin de los usuarios y de los responsables de informtica.
Disponibilidad de herramientas que facilitan los ataques.
Limitacin gubernamental de tecnologas de seguridad.

Vulnerabilidad del da cero

Se incluyen en este grupo aquellas vulnerabilidades para las cuales no existe una solucin conocida, pero
como explotarla.

Vulnerabilidades conocidas
Vulnerabilidad de desbordamiento de buffer.

Si un programa no controla la cantidad de datos que se copian en buffer, puede llegar un momento en que s
sobrepase la capacidad del buffer y los bytes que sobran se almacenan en zonas de memoria adyacentes.
En esta situacin se puede aprovechar para ejecutar cdigo que nos de privilegios de administrador.
Vulnerabilidad de condicin de carrera (race condition).

Si varios procesos acceden al mismo tiempo a un recurso compartido puede producirse este tipo de vulnera
el caso tpico de una variable, que cambia su estado y puede obtener de esta forma un valor no esperado.
Vulnerabilidad de Cross Site Scripting (XSS).

Es una vulnerabilidad de las aplicaciones web, que permite inyectar cdigo VBSript o JavaScript en pginas
por el usuario. El phishing es una aplicacin de esta vulnerabilidad. En el phishing la vctima cree que est a
a una URL (la ve en la barra de direcciones), pero en realidad est accediendo a otro sitio diferente. Si el us
introduce sus credenciales en este sitio se las est enviando al atacante.
Vulnerabilidad de denegacin del servicio.

La denegacin de servicio hace que un servicio o recurso no est disponible para los usuarios. Suele provo
prdida de la conectividad de la red por el consumo del ancho de banda de la red de la vctima o sobrecarg
recursos informticos del sistema de la vctima.
Vulnerabilidad de ventanas engaosas (Window Spoofing).

Las ventanas engaosas son las que dicen que eres el ganador de tal o cual cosa, lo cual es mentira y lo n
quieren es que el usuario de informacin. Hay otro tipo de ventanas que si las sigues obtienen datos del ord
para luego realizar un ataque.

En http://www.cert.org/stats/ hay disponibles unas tablas que indican el n de vulnerabilidades detectadas por ao. E
interesante visitar la web de vez en cuando y comprobar el elevado nmero de vulnerabilidades que se van detecta
que ver cuntas no se detectan...

Herramientas

En el caso de servidores Linux/Unix para hacer el anlisis de vulnerabilidades se suele utilizar el programa 'Nessus

Nessus es de arquitectura cliente-servidor OpenSource, dispone de una base de datos de patrones de ataques para
contra una mquina o conjunto de mquinas con el objetivo de localizar sus vulnerabilidades.

Existe software comercial que utiliza Nessus como motor para el anlisis. Por ejemplo est Catbird (www.catbird.co
un portal para la gestin centralizada de las vulnerabilidades, analiza externamente e internamente la red teniendo
los accesos inalmbricos. Adems hace monitoreo de servicios de red como el DNS y la disponibilidad de los portal
las organizaciones.

En otros sistemas tipo Windows est el MBSA Microsoft Baseline Security Analyzer que permite verificar la configu

seguridad, detectando los posibles problemas de seguridad en el sistema operativo y los diversos componentes ins

De qu queremos proteger el sistema informtico?

Ya hemos hablado de los principales activos o elementos fundamentales del sistema informtico que son vulnerable
veremos a qu son vulnerables dichos elementos.
Comenzamos definiendo el concepto de amenaza.

Entendemos la amenaza como el escenario en el que una accin o suceso, ya sea o no deliberado, compromete la
de un elemento del sistema informtico.

Cuando a un sistema informtico se le detecta una vulnerabilidad y existe una amenaza asociada a dicha vulnerabi
ocurrir que el suceso o evento se produzca y nuestro sistema estar en riesgo.

Si el evento se produce y el riesgo que era probable ahora es real, el sistema informtico sufrir daos que habr q
cualitativa y cuantitativamente, y esto se llama 'impacto'.

Integrando estos conceptos podemos decir que un evento producido en el sistema informtico que constituye
amenaza, asociada a una vulnerabilidad del sistema, produce un impacto sobre l.

Si queremos eliminar las vulnerabilidades del sistema informtico o queremos disminuir el impacto que puedan prod
l, hemos de proteger el sistema mediante una serie de medidas que podemos llamar defensas o salvaguardas.

Polticas de seguridad
Cmo podemos proteger el sistema informtico?

Lo primero que hemos de hacer es un anlisis de las posibles amenazas que puede sufrir el sistema informtico, un
estimacin de las prdidas que esas amenazas podran suponer y un estudio de las probabilidades de que ocurran.

A partir de este anlisis habr que disear una poltica de seguridad en la que se establezcan las responsabilidades
seguir para evitar esas amenazas o minimizar los efectos si se llegan a producir.

Definimos Poltica de seguridad como un documento sencillo que define las directrices organizativas en materia de
(Villaln).

La poltica de seguridad se implementa mediante una serie de mecanismos de seguridad que constituyen las herram
para la proteccin del sistema. Estos mecanismos normalmente se apoyan en normativas que cubren reas mas es
Esquemticamente:

Los mecanismos de seguridad se dividen en tres grupos:

1. Prevencin:
Evitan desviaciones respecto a la poltica de seguridad.

Ejemplo: utilizar el cifrado en la transmisin de la informacin evita que un posible atacante capture (y entie
informacin en un sistema de red.
2. Deteccin:
Detectan las desviaciones si se producen, violaciones o intentos de violacin de la seguridad del sistema.
Ejemplo: la herramienta Tripwire para la seguridad de los archivos.
3. Recuperacin:

Se aplican cuando se ha detectado una violacin de la seguridad del sistema para recuperar su normal func
Ejemplo: las copias de seguridad.
Dentro del grupo de mecanismos de prevencin tenemos:
Mecanismos de identificacin e autenticacin

Permiten identificar de forma nica 'entidades' del sistema. El proceso siguiente es la autenticacin, es deci
comprobar que la entidad es quien dice ser.
Pasados estos dos filtros, la entidad puede acceder a un objeto del sistema.

En concreto los sistemas de identificacin y autenticacin de los usuarios son los mecanismos mas utilizado

 Mecanismos de control de acceso

Los objetos del sistema deben estar protegidos mediante mecanismos de control de acceso que establecen
acceso al objeto por parte de cualquier entidad del sistema.
Mecanismos de separacin

Si el sistema dispone de diferentes niveles de seguridad se deben implementar mecanismos que permitan s
objetos dentro de cada nivel.

Los mecanismos de separacin, en funcin de como separan los objetos, se dividen en los grupos siguiente
separacin fsica, temporal, lgica, criptogrfica y fragmentacin.
Mecanismos de seguridad en las comunicaciones

La proteccin de la informacin (integridad y privacidad) cuando viaja por la red es especialmente important
Clsicamente se utilizan protocolos seguros, tipo SSH o Kerberos, que cifran el trfico por la red.

Polticas de seguridad

El objetivo de la Poltica de Seguridad de Informacin de una organizacin es, por un lado, mostrar el posicionamien
organizacin con relacin a la seguridad, y por otro lado servir de base para desarrollar los procedimientos concreto
seguridad.
La empresa debe disponer de un documento formalmente elaborado sobre el tema y que debe ser divulgado entre
empleados.

No es necesario un gran nivel de detalle, pero tampoco ha de quedar como una declaracin de intenciones. Lo ms
para que estas surtan efecto es lograr la concienciacin, entendimiento y compromiso de todos los involucrados.

Las polticas deben contener claramente las practicas que sern adoptadas por la compaa. Y estas polticas debe
revisadas, y si es necesario actualizadas, peridicamente.
Las polticas deben:

definir qu es seguridad de la informacin, cuales son sus objetivos principales y su importancia dentro de l
organizacin
mostrar el compromiso de sus altos cargos con la misma
definir la filosofa respecto al acceso a los datos
establecer responsabilidades inherentes al tema
establecer la base para poder disear normas y procedimientos referidos a
o Organizacin de la seguridad
o Clasificacin y control de los datos
o Seguridad de las personas
o Seguridad fsica y ambiental
o Plan de contingencia
o Prevencin y deteccin de virus
o Administracin de los computadores

A partir de las polticas se podr comenzar a desarrollar, primero las normas, y luego los procedimientos de segurid

sern la gua para la realizacin de las actividades.

La poltica de seguridad comprende todas las reglas de seguridad que sigue una organizacin (en el sentido genera
palabra). Por lo tanto, la administracin de la organizacin en cuestin debe encargarse de definirla, ya que afecta a
usuarios del sistema.
La seguridad informtica de una compaa depende de que los empleados (usuarios) aprendan las reglas a travs
de capacitacin y de concienciacin.
Sin embargo, la seguridad debe ir ms all del conocimiento de los empleados y cubrir las siguientes reas:

Un mecanismo de seguridad fsica y lgica que se adapte a las necesidades de la compaa y al uso de los
Un procedimiento para administrar las actualizaciones
Una estrategia de realizacin de copias de seguridad planificada adecuadamente
Un plan de recuperacin luego de un incidente
Un sistema documentado actualizado

Por lo tanto y como resumen, la poltica de seguridad es el documento de referencia que define los objetivos de seg
medidas que deben implementarse para tener la certeza de alcanzar estos objetivos.

Amenazas
Clasificacin de las amenazas
De forma general podemos agrupar las amenazas en:
Amenazas fsicas
Amenazas lgicas
Estas amenazas, tanto fsicas como lgicas, son materializadas bsicamente por:
las personas
programas especficos
catstrofes naturales
Podemos tener otros criterios de agrupacin de las amenazas, como son:
Origen de las amenazas
Amenazas naturales: inundacin, incendio, tormenta, fallo elctrico, explosin, etc...

Amenazas de agentes externos: virus informticos, ataques de una organizacin criminal, sabotajes terroris
disturbios y conflictos sociales, intrusos en la red, robos, estafas, etc...
Amenazas de agentes internos: empleados descuidados con una formacin inadecuada o descontentos, er
utilizacin de las herramientas y recursos del sistema, etc...

Intencionalidad de las amenazas

Accidentes: averas del hardware y fallos del software, incendio, inundacin, etc...
Errores: errores de utilizacin, de explotacin, de ejecucin de procedimientos, etc...
Actuaciones malintencionadas: robos, fraudes, sabotajes, intentos de intrusin, etc...

Naturaleza de las amenazas

La agrupacin de las amenazas atendiendo al factor de seguridad que comprometen es la siguiente:

Interceptacin
Modificacin
Interrupcin
Fabricacin

1. Flujo normal de la informacin: se corresponde con el esquema superior de la figura.

Se garantiza:
Confidencialidad: nadie no autorizado accede a la informacin.
Integridad: los datos enviados no se modifican en el camino.
Disponibilidad: la recepcin y acceso es correcto.
2. Interceptacin: acceso a la informacin por parte de personas no autorizadas. Uso de privilegios no adquiridos.

Deteccin difcil, no deja huellas.

Se garantiza:
Integridad.
Disponibilidad
No se garantiza:
Confidencialidad: es posible que alguien no autorizado acceda a la informacin
Ejemplos:
Copias ilcitas de programas

 Escucha en lnea de datos

3. Modificacin: acceso no autorizado que cambia el entorno para su beneficio.

Deteccin difcil segn circunstancias.

Se garantiza:
Disponibilidad: la recepcin es correcta.
No se garantiza:
Integridad: los datos enviados pueden ser modificados en el camino.
Confidencialidad: alguien no autorizado accede a la informacin.
Ejemplos:
Modificacin de bases de datos
Modificacin de elementos del HW
4. Interrupcin: puede provocar que un objeto del sistema se pierda, quede no utilizable o no disponible.

Deteccin inmediata.
Se garantiza:
Confidencialidad: nadie no autorizado accede a la informacin.
Integridad: los datos enviados no se modifican en el camino.
No se garantiza:

 Disponibilidad: puede que la recepcin no sea correcta.

Ejemplos:
Destruccin del hardware
Borrado de programas, datos
Fallos en el sistema operativo

5. Fabricacin: puede considerarse como un caso concreto de modificacin ya que se consigue un objeto similar a
forma que no resulte sencillo distinguir entre objeto original y el fabricado.

Deteccin difcil. Delitos de falsificacin.

En este caso se garantiza:
Confidencialidad: nadie no autorizado accede a la informacin.
Integridad: los datos enviados no se modifican en el camino.
Disponibilidad: la recepcin es correcta.
Ejemplos:
Aadir transacciones en red
Aadir registros en base de datos

Amenazas provocadas por personas

La mayor parte de los ataques a los sistemas informticos son provocados, intencionadamente o no, por las person
Qu se busca?

En general lo que se busca es conseguir un nivel de privilegio en el sistema que les permita realizar acciones sobre
no autorizadas.
Podemos clasificar las personas 'atacantes' en dos grupos:

1. Activos: su objetivo es hacer dao de alguna forma. Eliminar informacin, modificar o sustraerla para
provecho.
2. Pasivos: su objetivo es curiosear en el sistema.

Repasamos ahora todos los tipos de personas que pueden constituir una amenaza para el sistema informtico sin e
detalles:
1.
2.
3.
4.
5.
6.

Personal de la propia organizacin

Ex-empleados
Curiosos
Crackers
Terroristas
Intrusos remunerados

Amenazas fsicas

Dentro de las amenazas fsicas podemos englobar cualquier error o dao en el hardware que se puede presentar e
momento. Por ejemplo, daos en discos duros, en los procesadores, errores de funcionamiento de la memoria, etc.
hacen que la informacin o no est accesible o no sea fiable.

Otro tipo de amenazas fsicas son las catstrofes naturales. Por ejemplo hay zonas geogrficas del planeta en las q
probabilidades de sufrir terremotos, huracanes, inundaciones, etc, son mucho mas elevadas.

En estos casos en los que es la propia Naturaleza la que ha provocado el desastre de seguridad, no por ello hay qu
descuidarlo e intentar prever al mximo este tipo de situaciones.

Hay otro tipo de catstrofes que se conocen como de riesgo poco probable. Dentro de este grupo tenemos los taqu
nucleares, impactos de meteoritos, etc. y que, aunque se sabe que estn ah, las probabilidades de que se desenca
muy bajas y en principio no se toman medidas contra ellos.

Ya hemos explicado el concepto de amenaza fsica. Vamos a conocer ahora cules son las principales amenazas f
sistema informtico.

Tipos de amenazas fsicas

Las amenazas fsicas las podemos agrupar en las producidas por:
1. Acceso fsico

Hay que tener en cuenta que cuando existe acceso fsico a un recurso ya no existe seguridad sobre l. Sup
entonces un gran riesgo y probablemente con un impacto muy alto.
A menudo se descuida este tipo de seguridad.

El ejemplo tpico de este tipo es el de una organizacin que dispone de tomas de red que no estn controla
libres.
2. Radiaciones electromagnticas

Sabemos que cualquier aparato elctrico emite radiaciones y que dichas radiaciones se pueden capturar y
si se dispone del equipamiento adecuado. Por ejemplo, un posible atacante podra 'escuchar' los datos que
el cable telefnico.
Es un problema que hoy da con las redes wifi desprotegidas, por ejemplo, vuelve a estar vigente.

3. Desastres naturales

Respecto a terremotos el riesgo es reducido en nuestro entorno, ya que Espaa no es una zona ssmica mu
Pero son fenmenos naturales que si se produjeran tendran un gran impacto y no solo en trminos de siste
informticos, sino en general para la sociedad.

Siempre hay que tener en cuenta las caractersticas de cada zona en particular. Las posibilidades de que oc
inundacin son las mismas en todas las regiones de Espaa. Hay que conocer bien el entorno en el que es
fsicamente los sistemas informticos.
4. Desastres del entorno
Dentro de este grupo estaran incluidos sucesos que, sin llegar a ser desastres naturales, pueden tener un
igual de importante si no se disponen de las medidas de salvaguarda listas y operativas.

Puede ocurrir un incendio o un apagn y no tener bien definidas las medidas a tomar en estas situaciones o
simplemente no tener operativo el SAI que debera responder de forma inmediata al corte de suministro el

Descripcion de algunas amenazas fsicas

Veamos algunas amenazas fsicas a las que se puede ver sometido un CPD y alguna sugerencia para evitar este ti
riesgo.

Por acciones naturales: incendio, inundacin, condiciones climatolgicas, seales de radar, instalaciones
ergometra,
Por acciones hostiles: robo, fraude, sabotaje,...
Por control de accesos: utilizacin de guardias, utilizacin de detectores de metales, utilizacin de sistem
biomtricos, seguridad con animales, proteccin electrnica,...

Como se puede comprobar, evaluar y controlar permanentemente la seguridad fsica del edificio que alberga el CPD
para comenzar a integrar la seguridad como una funcin primordial dentro de cualquier organismo.
Tener controlado el ambiente y acceso fsico permite:

disminuir siniestros
trabajar mejor manteniendo la sensacin de seguridad
descartar falsas hiptesis si se produjeran incidentes
tener los medios para luchar contra accidentes

Las distintas alternativas enumeradas son suficientes para conocer en todo momento el estado del medio en el que
as tomar decisiones en base a la informacin ofrecida por los medios de control adecuados.

Estas decisiones pueden variar desde el conocimiento de la reas que recorren ciertas personas hasta la extremo d
el edificio en caso de accidentes.

Amenazas lgicas

El punto ms dbil de un sistema informtico son las personas relacionadas en mayor o menor medida con l. Pued
inexperiencia o falta de preparacin, o sin llegar a ataques intencionados propiamente, simplemente sucesos accide
Pero que, en cualquier caso, hay que prevenir.

Entre algunos de los ataques potenciales que pueden ser causados por estas personas, encontramos:

Ingeniera social: consiste en la manipulacin de las personas para que voluntariamente realicen actos qu
normalmente no haran.
Shoulder Surfing: consiste en "espiar" fsicamente a los usuarios para obtener generalmente claves de ac
sistema.
Masquerading: consiste en suplantar la identidad de cierto usuario autorizado de un sistema informtico o
Basureo: consiste en obtener informacin dejada en o alrededor de un sistema informtico tras la ejecucin
trabajo.
Actos delictivos: son actos tipificados claramente como delitos por las leyes, como el chantaje, el soborno
amenaza.
Atacante interno: la mayor amenaza procede de personas que han trabajado o trabajan con los sistemas.
posibles atacantes internos deben disponer de los privilegio mnimos, conocimiento parcial, rotacin de fu
separacin de funciones, etc.
Atacante externo: suplanta la identidad de un usuario legtimo. Si un atacante externo consigue penetrar e
sistema, ha recorrido el 80% del camino hasta conseguir un control total de un recurso.

Algunas amenazas lgicas

Las amenazas lgicas comprenden una serie de programas que pueden daar el sistema informtico. Y estos progr
sido creados:
de forma intencionada para hacer dao: software malicioso o malware (malicious software)
por error: bugs o agujeros.
Enumeramos algunas de las amenazas con las que nos podemos encontrar:
1. Software incorrecto

Son errores de programacin (bugs) y los programas utilizados para aprovechar uno de estos fallos y ataca
son los exploits. Es la amenaza ms habitual, ya que es muy sencillo conseguir un exploit y utilizarlo sin ten
conocimientos.
2. Exploits

Son los programas que aprovechan una vulnerabilidad del sistema. Son especficos de cada sistema opera
configuracin del sistema y del tipo de red en la que se encuentren. Pueden haber exploits diferentes en fun
tipo de vulnerabilidad.
3. Herramientas de seguridad

Puede ser utilizada para detectar y solucionar fallos en el sistema o un intruso puede utilizarlas para detecta
mismos fallos y aprovechar para atacar el sistema. Herramientas como Nessus o Satan pueden ser tiles p
peligrosas si son utilizadas por crackers buscando informacin sobre las vulnerabilidades de un host o de u
completa.
4. Puertas traseras

Durante el desarrollo de aplicaciones los programadores pueden incluir 'atajos' en los sistemas de autentica
aplicacin. Estos atajos se llaman puertas traseras, y con ellos se consigue mayor velocidad a la hora de de
depurar fallos. Si estas puertas traseras, una vez la aplicacin ha sido finalizada, no se destruyen, se est d

abierta una puerta de entrada rpida.

5. Bombas lgicas

Son partes de cdigo que no se ejecutan hasta que se cumple una condicin. Al activarse, la funcin que re
esta relacionada con el programa, su objetivo es es completamente diferente.
6. Virus

Secuencia de cdigo que se incluye en un archivo ejecutable (llamado husped), y cuando el archivo se eje
virus tambin se ejecuta, propagndose a otros programas.
7. Gusanos

Programa capaz de ejecutarse y propagarse por s mismo a travs de redes, y puede llevar virus o aprovec
los sistemas a los que conecta para daarlos.
8. Caballos de Troya

Los caballos de Troya son instrucciones incluidas en un programa que simulan realizar tareas que se esper
pero en realidad ejecutan funciones con el objetivo de ocultar la presencia de un atacante o para asegurars
en caso de ser descubierto.
9. Spyware

Programas espa que recopilan informacin sobre una persona o una organizacin sin su conocimiento. Est
informacin luego puede ser cedida o vendida a empresas publicitarias. Pueden recopilar informacin del te
vctima pudiendo as conocer contrasea o n de cuentas bancarias o pines.
10. Adware

Programas que abren ventanas emergentes mostrando publicidad de productos y servicios. Se suele utiliza
subvencionar la aplicacin y que el usuario pueda bajarla gratis u obtener un descuento. Normalmente el us
consciente de ello y da su permiso.
11. Spoofing
Tcnicas de suplantacin de identidad con fines dudosos.
12. Phishing

Intenta conseguir informacin confidencial de forma fraudulenta (conseguir contraseas o pines bancarios)
una suplantacin de identidad. Para ello el estafador se hace pasar por una persona o empresa de la confia
usuario mediante un correo electrnico oficial o mensajera instantnea, y de esta forma conseguir la inform
13. Spam

Recepcin de mensajes no solicitados. Se suele utilizar esta tcnica en los correos electrnicos, mensajera
instantnea y mensajes a mviles.

14. Programas conejo o bacterias

Programas que no hacen nada, solo se reproducen rpidamente hasta que el nmero de copias acaba con
del sistema (memoria, procesador, disco, etc.).
15. Tcnicas salami

Robo automatizado de pequeas cantidades dinero de una gran cantidad origen. Es muy difcil su deteccin
suelen utilizar para atacar en sistemas bancarios.

Uso bsico de Nessus

Vamos a utilizar la herramienta Nessus, desde Ubuntu, para realizar un anlisis de vulnerabilidades en los equipos,
ejemplo, de la red de un aula, de la misma forma que se realizara en una auditora de seguridad en red.

Nessus se instala en un servidor y puede gestionarse desde una consola web remota. Existen versiones para GNU
OS X, Solaris, FreeBSD y para Windows.

Instalacin de Nessus

Para ello ir a http://www.tenable.com/products/nessus/nessus-download-agreement y descargar la versin de Nessu

Ubuntu 10.10 de 32 bits.
Instalar la herramienta.

Hay que ir tambin a la pgina http://www.tenable.com/products/nessus/nessus-plugins/obtain-an-activation-code, a

deHomeFeed para particulares que es gratuita. Dar los datos de nombre y correo electrnico y se recibir el cdigo
activacin que habr que guardar hasta que se pida.
Una vez instalado creamos un usuario para poder usarlo. Para ello ejecutamos en una terminal la orden:
$ sudo /opt/nessus/sbin/nessus-adduser
Asignar login (usuario) y contrasea y aceptar (Y). El usuario no tiene porque existir en el sistema.
Establecer este usuario como admin y no asignar reglas.
A continuacin hay que registrarlo y es cuando se utiliza el cdigo que se ha recibido por correo electrnico (donde
XXXX-XXXX-XXXX-XXXX es el cdigo):
$ cd /opt/nessus/bin/
$ sudo ./nessus-fetch --register XXXX-XXXX-XXXX-XXXX-XXXX
Your activation code has been registered properly - thank you.
Now fetching the newest plugin set from plugins.nessus.org...
Your Nessus installation is now up-to-date.
If auto_update is set to 'yes' in nessusd.conf, Nessus will
update the plugins by itself.

Indica que todo ha ido bien y comienza la actualizacin, si es necesaria.

Si el archivo de configuracin /opt/nessus/etc/nessus/nessusd.conf indica que la actualizacin es automtica, Nessu

en su momento, probablemente cuando accedamos al servicio por primera vez. En este archivo se pueden configur
opciones de funcionamiento de la herramienta.
Tambin se puede hacer directamente por lnea de orden:
$ cd /opt/nessus/sbin
$ sudo ./nessus-update-plugins
[sudo] password for elvira:
Fetching the newest updates from nessus.org...
Done. The Nessus server will restart when its scans are finished

No hay que cancelarla hasta que termine (puede tardar unos minutos en funcin del volumen de plugins a actualiza
de conexin) y muestra por terminal:
Your nessus instalation is up-to-date.

Ejecucin del servicio

Ejecutar el servicio:
$ sudo /etc/init.d/nessusd start
Para comprobar que Nessus se est ejecutando correctamente ejecutar la orden:
$ netstat -atunp | grep nessusd
El puerto de escucha de Nessus es el 1241. Para el entorno grfico el puerto utilizado es el 8834.

Utilizacin en modo consola

Hay que cerrar la consola grfica.
$ cd /opt/nessus/sbin
$ sudo ./nessus-service -D
$ nessusd (Nessus) 4.4.1 [build M15078] for Linux
(C) 1998 - 2011 Tenable Network Security, Inc.
Processing the Nessus plugins...
[#################################################]
All plugins loaded
$ sudo vi /opt/nessus/bin/targets.txt

Hay que crear el archivo targets.txt donde se encuentran los hosts a escanear. El archivo debe contener el host o l
$
sudo
./nessus
-q
127.0.0.1
1241
usuario_nessus
/opt/nessus/bin/targets.txt /opt/nessus/bin/resultados.txt

contrasea_usuar

El archivo targets debe ser creado antes de ejecutar el cliente, con un nombre cualquiera y guardado donde se quie

especificando la ubicacin. En el archivo resultados.txt van los logs del escaneo.

Utilizacin desde el navegador web

Para ello hay que abrir una nueva pestaa en el navegador para acceder a la consola web de administracin y tecle
https://localhost:8834 / https://ip_servidor:8834

Aceptar la advertencia de seguridad del certificado digital y aparecer la ventana de login, en la que introducimos el
contrasea del usuario que se cre.
La imagen siguiente muestra lo que hemos de ver en el navegador:

Polticas de uso
Para realizar un escaneo de vulnerabilidades es necesario crear una poltica.
Definir una poltica consiste en establecer un conjunto de opciones de configuracin para ejecutar el escaneo de
vulnerabilidades. Incluye parmetros como:

sesiones TCP por host, nmero de hosts objetivo, tipo de escaneo,...

credenciales para escaneos (Windows, SSH), escaneos autenticados contra Oracle, HTTP, FTP, POP, IMAP
Kerberos
Para crear la poltica ir a la pestaa Policies y pulsamos Add.

Vemos 4 pestaas a la izquierda. En la pestaa General asignar un nombre y dejar las dems opciones por defecto
suficientes para un escaneo 'rutinario'.

Si necesitamos hacer uso de la ayuda de cada opcin, pasando el ratn por encima de ella se muestra la ayuda aso
opcin. Tambin hay disponible un manual de usuario desde la pestaa Help.
La pestaa de Credenciales la dejamos igual.

En la pestaa de Plugins tenemos disponibles hasta 43 familias y un total de 45527 plugins que habr que peridica
actualizar.

En la pestaa Preferences existen muchas opciones para personalizar Nessus y realizar escaneos. Por ejemplo pe
configurarlo para comprobar vulnerabilidades en servidores de bases de datos, en aplicaciones web (inyeccin SQL
etc. ), spam en servidores de correo, SNMP, etc.

En general esta pestaa permite personalizar el escaneo de vulnerabilidades en funcin de los servicios y aplicacio
disponibles en nuestra red.
Para finalizar y guardar la poltica, pulsar el botn Submit.
Tenemos ya disponible nuestra poltica de escaneo de vulnerabilidades llamada 'pruebas'.

Escaneo de vulnerabilidades
Ir a la pestaa Scans > Add y asignar un nombre.
Seleccionar la poltica creada anteriormente 'pruebas' y escribir las direcciones IP de los hosts objetivos, indicando
direcciones IP una en cada lnea.
Ejecutar el escaneo pulsando Launch Scan.

Sobre la marcha desde Browse podemos hacer el seguimiento o desde la pestaa Scans o Reports se puede cons
estado del escaneo.
Una vez ha terminado se puede consultar en la pestaa Reports. Haciendo clic en el informe generado, se pueden
equipos analizados (en nuestro caso solo una IP) as como la cantidad de vulnerabilidades o alertas y su riesgo.
Podemos ver agrupadas las vulnerabilidades en funcin del riesgo: bajo, medio, alto, puertos abiertos, etc.

Haciendo clic en cada una de las lneas se puede ver informacin relacionada con la vulnerabilidad o aviso e inclus
referencias a webs donde se puede encontrar la solucin.

Escaneo con credenciales de administrador

Si utilizamos el anlisis con credenciales se pueden detectar muchas mas vulnerabilidades de tipo High.
Para realizar un anlisis ms exhaustivo, primero se debe crear una poltica con credenciales definidas. Para ello ir
pestaaPolicies y crear una nueva o copia la anterior con el botn Copy.

Editar la nueva poltica creada, asignar un nombre y desde la pestaa Credenciales introducir el usuario y contrase
usuario con suficientes privilegios tanto en Windows como en GNU/Linux.

Recordar que el usuario creado en el proceso de instalacin de Ubuntu es un usuario sudo (permisos de administra
contrasea hay que definirla como tipo de credencial SSH settings.
Para equipos con Windows, hay aadir la credencial como tipo Windows credentials. Para ello hay que asegurarse
equipos Windows que se van a analizar tienen una contrasea definida como Administrador.

Podemos guardar la poltica y crear un nuevo escaneo asignndole la poltica con credenciales que acabamos de c

Para cada vulnerabilidad detectada, sea del nivel que sea, emite un informe asociado en el que da informacin rela
la captura vemos el informe de telnet, que lo ha detectado como vulnerabilidad del sistema.

Conclusin y enlaces
En el artculo hemos hecho una introduccin general a la seguridad informtica, los pilares sobre los que se basa y
conceptos relacionados con la seguridad, como son vulnerabilidad, amenaza, ataque, etc.

Hemos introducido tambin una primera herramienta relacionada con la deteccin de vulnerabilidades del sistema q
podemos aplicar en el aula y conocer cules son las debilidades de nuestros sistemas para aplicar las medidas corr
apropiadas. La herramienta es Nessus que es un clsico ya dentro de la seguridad y adems disponible para difere
plataformas.
Algunos portales importantes relacionados con seguridad, son:
http://www.securityfocus.com/

Es una de las bases de datos mas consultadas por los profesionales en seguridad informtica por el contex
aportado.
http://www.osvdb.org/
Esta base de datos tiene la mejor informacin sobre vulnerabilidades en el software open source.
http://secunia.com/
Secunia, tienen las mejores estadsticas de la aparicin de vulnerabilidades por sistema operativo.
http://www.kb.cert.org/vuls/

Al igual que securityfocus, es una de las bases de datos mas consultadas por los profesionales en segurida

informtica por el contexto tcnico aportado.

http://www.zone-h.org
En su zona restringida muestra gran cantidad de informacin sobre ataques y estadsticas.
Utilizamos indistintamente los trminos organizacin y empresa.

Recordar que un CPD es un Centro de proceso de datos, y en l se ubican los recursos necesarios para procesar la
informacin de una organizacin.

Recordar que la "La Ergonoma es una disciplina que se ocupa de estudiar la forma en que interacta el cuerpo hu
los artefactos y elementos que lo rodean, buscando que esa interaccin sea lo menos agresiva y traumtica posible
Introduccin a la Seguridad Informtica 26/26