Boletín Advisory*
Abril - Mayo 2005
Distribución exclusiva para
clientes y relacionados de
Espiñeira, Sheldon y Asociados
Redes globales
entre corporaciones
(extranets): Riesgos
de conexiones a
nuestra red
*connectedthinking
En este número
• Introducción
• Riesgos y supuestos
• Las políticas de seguridad de activos de información
• Uso de la Internet y servicios relacionados
Introducción
Los escenarios que afrontan las
organizaciones en cuanto a
seguridad de la información
necesariamente requieren ampliar su
enfoque hacia un todo, ya que en
este momento es muy difícil separar
los elementos de seguridad y control
que deben ser establecidos a la red y
los requeridos para el resto de los
activos de información de la
organización. Desde la estación de
trabajo de un operador bancario, las
puertas de las habitaciones de un
hotel, hasta los teléfonos celulares y
dispositivos móviles, la tecnología de
información de toda empresa
requiere un medio de transmisión,
por lo cual los riesgos de la red de
datos se exacerban por todas
aquellas vulnerabilidades de los
demás elementos que puedan ser
utilizadas de forma remota.
La naturaleza de los negocios
electrónicos, y la tendencia a
establecer acuerdos entre clientes y
proveedores para agilizar procesos
tales como la cadena de procura,
exigen interconexión. Esta
interconexión ha tenido un proceso
evolutivo que va desde el
intercambio de información por
medios de almacenamiento
magnético y procesos en lote
mediante enlaces discados (dial-up),
hasta lo que hoy en día se conoce
como Extranet.
Podemos definir a la Extranet como
una red privada que utiliza la Internet
y su tecnología para el intercambio
de información con proveedores,
clientes y asociados de negocios.
Una Extranet puede ser vista como
un apéndice de la red interna, que
incorpora a terceras partes dentro de
las operaciones del negocio,
equiparando sus posibilidades de
iteración con las de los usuarios de
la organización.
En términos reales, la Extranet no
puede ser considerada como parte
de la red de la organización. Las
razones son diversas, pero pueden
resumirse en los siguientes aspectos:
- La organización no tiene garantías
sobre los esquemas de seguridad y
control establecidos en las redes y
otros elementos tecnológicos de
terceras partes.
- La cultura de seguridad y los
valores éticos en clientes y
proveedores interconectados
pueden diferir. De igual modo no
puede asegurarse que los
esquemas de contratación y
educación permitan establecer
niveles de confianza sobre su
personal
- Nuestra organización puede a su
vez ser fuente de ataques a
clientes y proveedores, afectando
sus operaciones y su reputación
En este sentido, la incorporación de
nuestra organización a una Extranet
debe ser canalizada considerándolo
un ambiente hostil. Bajo esta
premisa, debemos dividir el entorno
de seguridad en tres factores, a
saber:
- La seguridad de los equipos y
tecnologías que participarán en las
operaciones vía Extranet.
- La seguridad de nuestra red local
- La seguridad de la conexión de
nuestra red con la Extranet e
Internet.
En este boletín se examina la
seguridad a los niveles antes
mencionados. Se analizan las
políticas a ser desarrolladas, en
cuanto a la identificación y
autenticación de usuarios, los
controles de instalación de software,
cifrado de la información, y la
arquitectura de seguridad de la red.
Adicionalmente, se discuten políticas
que se proponen para la conexión de
redes externas, incluyendo Internet.
Riesgos y supuestos
Para entender los riesgos y definir un
marco de regencia en donde nos
podamos mover mediante ejemplos,
se requiere definir las políticas de
seguridad para las conexiones
externas. Además se debe resaltar
que en este boletín no se cuantifica
la probabilidad de los riesgos, sin
embargo se cubrirán los más
importantes de manera
comprensible.
A continuación se detallan los
riesgos y supuestos a ser
considerados:
Los computadores y estaciones
de trabajo
- El usuario es generalmente
responsable de la seguridad de los
computadores o estaciones de
trabajo a su cargo. Sin embargo es
necesario que la organización
considere esquemas que limiten su
posibilidad de establecer una
configuración inapropiada, bien sea
accidental o intencional. El usuario
es constantemente atacado, vía
correo electrónico, mediante
ofertas engañosas e hipervínculos
en Internet, a la instalación de
software que actúan como virus,
spyware1, adware2. La organización
debe proveer soporte y
herramientas que protejan a los
usuarios de dichos ataques, ya que
son la primera puerta de ataque.
- El usuario debe cumplir con las
políticas de seguridad que
establecen los mecanismos de
custodia, tanto física como lógica
de los computadores y la
información allí contenida. Según el
FBI, el robo de computadores
portátiles durante el año 2004, ha
representado US$ 6.7 millones3.
- En el caso de usuarios con acceso
remoto, bien sea mediante redes
inalámbricas locales, enlaces VPN4
vía Internet o enlaces discado, es
particularmente importante la
protección de estos equipos, ya
que son repositorios de
información sensible que permite el
acceso remoto a la organización y
pueden ser utilizados como puente
para ingresar a la red local,
mediante herramientas tales como
keyloggers5 o puertas trasera
habilitadas.

1
Tecnología que permite obtener información acerca de las personas o sus organizaciones, sin su consentimiento.
2
No siempre con fines adversos al usuario o el negocio, los adware son programas que generalmente se instalan con otras aplicaciones y
cuyo fin es desplegar información publicitaria.
3
Fuente: http://www.gocsi.com/forms/fbi/csi_fbi_survey.jhtml;jsessionid=EMQLJLS3IOBDOQSNDBGCKHSCJUMEKJVN
4
Virtual Private Network
5
Herramienta que permite monitorear las actividades del usuario en su computador, capturando la información transcrita y las pantallas
visualizadas, en función de obtener información que permita escalar en accesos no autorizados.

2 Advisory • ABRIL - MAYO

La Intranet
- La intranet presenta brechas de
seguridad similares a las que
pueden identificarse en la Internet.
Sin embargo, este entorno es más
susceptible de ataques, debido a la
baja percepción de riesgo por
parte del personal de TI.
Nuevamente, el FBI nos indica que
el 59% y 37% de las empresas
entrevistadas han sido víctimas de
abusos internos y accesos no
autorizados a información
respectivamente.
- Los servidores de la Intranet deben
ser considerados inseguros y
deben poseer esquemas de
protección similares a un servidor
que preste servicios en Internet.
Por tanto, se deben establecer
criterios específicos en cuanto a su
utilización, implantar mecanismos
orientados a limitar su visibilidad
desde y hacia la red local, e
implantar mecanismos de
monitoreo continuo de su
utilización.
- Los usuarios de la red deben
conectarse regularmente a fin de
que las aplicaciones, tales como
antivirus entre otras, se actualicen
automáticamente.
Redes externas (Extranets) o
Internet
- Internet es una red hostil. Por tanto
ningún usuario de la red de la
organización podrá tener
conexiones particulares a Internet;
sólo mantendrá la conexión a
Internet autorizada por la
organización.
- Tal como se mencionó
anteriormente, los empleados son
objeto de espionaje y ataques
constantes, por tanto deben recibir
educación relativa a buenas
prácticas de navegación en
Internet, tener configurado sus
equipos de forma robusta y poseer
herramientas que lo protejan.
- Las claves de acceso o palabras
claves las cuales son transmitidas
fuera de los ámbitos de la Intranet
y a través de una Extranet están
expuestas a ser capturadas y
divulgadas. Asimismo, toda
información o dato que se
transmite desde la Intranet de la
organización y por la conexión de
una Extranet, es vulnerable y está
sujeta a intercepción y captura.
- No es posible mantener control
sobre los e-mail que se transmiten
y salen de la Intranet hacia la
Internet, por lo que los mismos
pueden ser manipulados y/o
revelados. Esto coloca al servicio
de correo como una fuente
importante de riesgo para la
organización, considerando
además el impacto que puede
representar en términos legales y
de reputación, la divulgación de
información sensitiva u ofensiva
transmitida por este medio, por
parte del personal.
Las políticas de seguridad
de activos de información
Las organizaciones requieren
formalizar su modelo de seguridad y
establecer un marco de referencia
para la administración y control de
los activos de información. Como
parte de estas funciones, deben
documentarse, aprobarse y
comunicarse formalmente las
políticas, estándares y lineamientos
que establecen las pautas de
seguridad en la organización, de
forma tal que éstas apoyen el
cumplimiento de las metas
estratégicas de la gerencia. Dichas
políticas deben ser independientes
de la tecnología utilizada en los
ambientes operativos, apoyando
como referencia a la organización
para la administración y control de
las plataformas presentes y los
criterios en seguridad para la
adquisición de tecnología de
información. A continuación se
presenta un breve resumen de los
principales tópicos que deben ser
abordados en las políticas de
seguridad de activos de información,
con relación a:
- Computadores
- Conexiones a la Intranet
- Conexiones a redes externas
- Conexiones Internet
Control de acceso: Identificación,
autenticación, autorización y
registro.
El control de acceso es un elemento
importante en la seguridad de un
sistema, especialmente en
ambientes interconectados por redes
como Internet, debido a que es el
primer paso en la protección de los
activos de información de una
organización: es necesario asegurar
que todo el que acceda a los
recursos de la empresa posea
credenciales apropiadas, que dichas
credenciales hayan sido forjadas, y
que las mismas correspondan con el
portador.
La primera actividad que se ejecuta
durante el control de acceso es la
identificación: se deben establecer
políticas dentro de la empresa que
fomenten el uso de identificaciones
de usuario (o user ID) únicos e
intransferibles. Esto permite una
asociación inequívoca en el sistema
de los privilegios autorizados y las
actividades que realiza el usuario. En
contraposición, debe suprimirse el
uso de cuentas genéricas que
compartan múltiples usuarios. En el
caso de redes Extranet, la
organización debe extender sus
controles sobre la creación y
Advisory • ABRIL - MAYO 3
asignación de perfiles a los
individuos de otras organizaciones
que interactúan con los sistemas de
información. Esto incluye la
formalización de procedimientos
para el mantenimiento de usuarios
que aseguren el cumplimiento de las
políticas de seguridad y la remoción
oportuna del personal egresado.
El segundo paso es la autenticación.
El primer medio (y en muchos casos,
el único) utilizado es la clave de
acceso, o password. Las políticas de
seguridad de la empresa deben
estipular que la clave de acceso debe
ser lo suficientemente larga y
compleja para que no pueda
adivinarse ni ser generada mediante
programas especializados, llevando
preferiblemente combinaciones de
caracteres en mayúscula y minúscula,
números, e incluso caracteres
alfanuméricos. Se debe cambiar
periódicamente y no permitir su
reutilización a fin de evitar la creación
de la clave de acceso favorita de
cada usuario. Otro aspecto
importante con relación a la clave de
acceso es asegurar que el
procedimiento de asignación de
claves de accesos por parte del
personal de soporte al usuario,
estipule medidas como la entrega de
claves de acceso generados al azar,
cumpliendo con todos los
requerimientos anteriormente
mencionados, y adicionalmente se
debe forzar su cambio inmediato por
parte del usuario la primera vez que
se conecte. En ambientes Extranet al
igual que Internet, la organización
debe evaluar la utilización de
esquemas más sólidos de
autenticación, tales como certificados
digitales o dispositivos físicos de
autenticación (tokens, biometría, USB
6
Utilización de claves similares durante el proceso de cifrado y descifrado
4 Advisory • ABRIL - MAYO
key, por ejemplo), en función de
elevar la fortaleza del perímetro.
Por supuesto, se debe tener en
práctica estrategias de concienciación
y políticas de seguridad a fin de evitar
que el usuario divulgue su clave de
acceso, lo escriba y que se asegure de
no ser observado mientras lo introduce
en la página de acceso.
Una vez el usuario se ha identificado
y es autenticado correctamente, se
debe validar sus privilegios de acceso
al sistema. Se deben instaurar
políticas organizacionales donde se
definen grupos de trabajo
dependiendo de las labores de los
usuarios, y el administrador del
sistema se debe asegurar que los
usuarios pertenezcan al grupo de
control apropiado y que le sean
asignado únicamente los roles
necesarios según sus funciones. Con
esto se busca que la información, los
programas, y los recursos del sistema
sean utilizados solo en la medida que
los usuarios lo requieran, y que un
usuario inescrupuloso no pueda
acceder programas o recursos que
están fuera de su área de trabajo.
Igualmente el administrador se debe
asegurar de que los usuarios no
tengan acceso a los archivos de
configuración para que no pueda
modificar sus privilegios de acceso.
Control de Cambios
El control de cambios es el proceso
que busca establecer una
observación minuciosa sobre las
alteraciones realizadas en los
ambientes tecnológicos que forman
parte de la organización. Para evitar
conflictos entre los programas y
ambientes, se debe instaurar políticas
y procedimientos que busquen crear
un proceso estándar para la
implantación de cambios, el cual
debe incluir niveles de aprobación y
control en el paso a producción de
los cambios. Para ello, la organización
debe asegurar el aislamiento y
separación de funciones entre lo que
se denomina ambiente productivo y
los ambientes de desarrollo y prueba,
a fin de asegurar la incorporación
únicamente de aquellos cambios que
han sido autorizados y probados
exhaustivamente.
Finalmente, deben existir políticas en
los procesos de Control de Cambios
que estipulen procesos de reversión
en caso de que causen conflictos o
problemas (Rollback).
Cifrado
El cifrado permite que información
importante para la organización o los
usuarios sea resguardada de accesos
no autorizados. Sin embargo, el cifrado
de información y las comunicaciones
representa un incremento sensible en
los costos operativos y el desempeño
de los sistemas, por los cual deben
establecerse políticas de control del
cifrado de información que permitan un
entorno confiable y eficiente para los
activos de información de la empresa.
Deben desarrollarse políticas donde se
estipule que toda información de vital
importancia para la organización debe
mantenerse cifrada mientras se
mantenga almacenada y sea
transmitida por las redes datos.
Tanto en los casos en que se utilice
cifrado de datos usando esquemas
PKI (Public Key Infraestructura) como
en esquemas de cifrado síncronos6,
es importante mantener la integridad
de la información, por lo que deben
establecerse políticas y
procedimientos que norme el control
de las claves de cifrado usadas,
asegurar que la claves no sean
incluida en el mismo medio que la
información, e incorporar
mecanismos de seguridad sobre las
misma, tal como fecha de
caducidad, o número de usos, para
garantizar así la integridad de la
información.
Para el caso de dispositivos móviles,
las políticas deben ser muy
concretas en relación con la
necesidad de que dicha información,
la totalidad del disco duro u otros
medios de almacenamientos, sea
cifrados.
Seguridad Física
La seguridad física es tan importante
en una organización como la
seguridad implantada en los
sistemas. Ante la ausencia de una
apropiada seguridad física, los
controles de acceso establecidos
para los activos de información
podrían ser omitidos, afectando su
privacidad, integridad o la
continuidad de las operaciones. Con
base en lo anteriormente descrito, el
establecimiento de políticas y
procedimientos de acceso físico
deberá considerar aquellos aspectos
de identificación del personal,
autorización y manejo de
excepciones, restricción de
localidades según funciones, ingreso
y egreso de equipos y mobiliario,
entre otros.
Monitoreo: IDS y respuesta a
incidentes
Los ambientes tecnológicos
actuales, debido a su complejidad y
constante proceso de cambio,
presenta vulnerabilidades que
pueden ser explotadas.
Adicionalmente, existen otros
factores que no pueden ser
controlados, como es el caso de
empleados descontentos o la
aparición de nuevas brechas, los
cuales contribuyen a generar
situaciones de riesgo para los
activos de información o la
continuidad del servicio. En el
desarrollo de políticas y
procedimientos debe entonces
considerarse la inclusión de políticas
de monitoreo y detección de
intrusiones, así como la
estructuración de planes de
respuesta a incidentes.
El primer paso en la detección de
intrusiones es el del monitoreo. Se
deben implantar políticas de
monitoreo de toda actividad que
suceda en cada uno de los
componentes de la tecnología de la
organización. Estas políticas debe
plantear el monitoreo de toda
conexión a un sistema, a fin de
detectar cualquier actividad anómala
en la que pueda incurrir un usuario, y
tomar las medidas correspondientes.
Una vez una intrusión es detectada,
se debe contar con planes de acción
para responder a dichas intrusiones.
Este plan de incluir cómo se realizará
la notificación a las personas
responsables, los esquemas de
escalamiento del evento dentro y
fuera de la organización, y las
acciones en el corto, mediano y largo
plazo que permitan minimizar el
impacto para la organización.
Uso de la Internet y
servicios relacionados
La facilidad de acceso que provee la
Internet a los empleados, hace que
sea un riesgo potencial para la
organización. Los usuarios pueden
ser partícipes intencionales o
accidentales de ataques a los activos
de información, mediante la
utilización de los servicios de correo,
navegación, Chat y transferencias de
archivos (FTP). Los virus y otros tipos
de código malicioso abundan en la
Internet, y en cualquier punto de la
superautopista de información se
puede encontrar a usuarios
maliciosos que desean obtener un
punto de acceso a información
restringida. Es por ello que es
necesario establecer políticas de
acceso y control del uso de Internet
y sus servicios relacionados.
Con respecto a la información que
pueda ser enviada o extraída de
Internet, ya sea a través de
descargas desde páginas o desde
correos electrónicos, se deben
implantar controles donde se prohíba
el envío o recepción de información
crítica a menos que se tenga control
sobre las condiciones en las cuales
se establecerá la comunicación. De
igual modo, cada usuario debe estar
seguro que la persona que envía o
recibe la información, ya sea a través
de un e-mail o una página, es
confiable y cuenta con controles de
acceso al menos similares, antes de
enviar o recibir información crítica
para la organización. Un aspecto
particular a ser considerado es la
utilización de referencias confiables
para consulta de información, ya que
es frecuente la utilización de sitios
que “forjan” identidades y presentan
información falsa.
Advisory • ABRIL - MAYO 5
La información publicada por la
organización y utilizada por esta para
las operaciones regulares deben
estar previamente aprobadas por las
autoridades pertinentes. Finalmente,
se debe implantar una política donde
se regule el uso de las cuentas de
correo, ya que los usuarios que
tengan acceso a las cuentas de
correo electrónico deben limitarse a
utilizar las cuentas para uso
relacionado a las labores que
desempeñan en la organización, y no
deben utilizar el correo para uso
personal, mitigando así el riesgo de
que información indebida o
potencialmente peligrosa llegue a la
organización a través de un correo
personal.
Interfases evaluación de su esquema de
En general, los esquemas de seguridad por parte de especialistas.
integración en las cadenas de valor Por ejemplo, el protocolo FTP no
de clientes, proveedores y incorpora esquemas de cifrado y
asociados, culminan con el plantea la necesidad, según sea el
desarrollo de interfases que permiten caso, de almacenar la contraseña en
el flujo de información entre los archivos de procesamiento en lote,
sistemas de cada una de las partes en tanto que algunas versiones del
que conforman estos procesos protocolo SMB presenta debilidades
complejos. Estos procesos de ampliamente conocidas en el
transferencia de información se mercado.
apoyan generalmente en servicios
prestados por la plataforma
tecnológica, tales como la
transferencia de archivos FTP,
recursos compartidos vía protocolos
tales como NFS7, y SMB8. Cada uno
de estos esquemas presenta
características que exigen una

7
Network File System. Protocolo ampliamente utilizado, particularmente en la arquitectura Unix, para compartir espacios de almacenamiento
8
Server Message Block: Protocolo desarrollado por Microsoft para compartir por red recursos de impresión y espacios de almacenamiento

Boletines Boletín Advisory

El presente boletín es de carácter informativo y no expresan opinión de la Depósito Legal pp 1999-03CS141
Firma. Su interpretación requiere tener el texto completo de las respectivas Editado por Espiñeira, Sheldon y Asociados
referencias y contar con la opinión y orientación de los abogados. Teléfono master: 0-212-700 6666
Si está interesado en recibir por correo electrónico este Boletín,
por favor envíenos su dirección de e-mail a: advisory.venezuela@ve.pwc.com

© 2005. Espiñeira, Sheldon y Asociados. Todos los derechos reservados. “PricewaterhouseCoopers” se refiere a la firma venezolana Espiñeira, Sheldon y
Asociados, o según el contexto, a la red de firmas miembro de PricewaterhouseCoopers International Limited, cada una de las cuales es una entidad legal
separada e independiente. *connectedthinking es una marca registrada de PricewaterhouseCoopers.

6 Advisory • ABRIL - MAYO