FUNDAMENTOS DE SEGURIDAD INFORMATICA

TRABAJO COLABORATIVO MOMENTO 1

Carlos Perdomo, José Luis López Bernal, Alber Delfin Peña Ortigoza

Escuela de Ciencias Básicas e Ingenierías, Universidad Nacional Abierta y a Distancia – UNADBogotá, Colombia

cperdomo18@hotmail.com,jllopezbe@unadvirtual.edu.co

delfin.alber@gmail.comGrupo 233001_1

Resumen – Desde la masificación en el uso de las computadoras, cuyo mayor auge comenzó hace más de dos décadas, junto con la llegada de una PC a cada hogar e incluso de la invasión de los cibercafes, los virus informáticos han tenido vía libre al acceso de las máquinas, y en muchos casos han llegado a destruir por completo grandes sistemas de servidores.

Es indudable que la amenaza de los virus se propagó de una manera espectacular a partir de la gran masificación de las computadoras como así también de Internet, ya que a través de este medio son muchos los que utilizan el libre acceso para introducir malware en los equipos, ante la inocencia de los usuarios que navegan por la red o descargar contenido de websites y clientes p2p.

Muchas compañías, normalmente por motivos de costos, han migrado información clave a Internet, exponiéndola hacia el exterior. Además, para comodidad de los trabajadores que solicitan teletrabajo, las compañías han tenido que "abrir sus puertas" para permitir la conexión a la intranet de la oficina desde casa. Desafortunadamente, cuando los atacantes comprometen los sistemas de entrada, ellos también tienen acceso a datos de la organización. La incorporación de mecanismos, controles en los elementos informáticos de una organización, y la implementación de sistemas de detección de intrusos, para garantizar la confiabilidad, integridad y disponibilidad de la información han aliviado un poco el problema; un cortafuego con una política correcta puede minimizar el que muchas redes queden expuestas. Sin embargo, los atacantes están evolucionando y aparecen nuevas técnicas como los Troyanos, gusanos y escaneos silenciosos que atraviesan los cortafuegos mediante protocolos permitidos como HTTP, ICMP o DNS. Los atacantes buscan vulnerabilidades en los pocos servicios que el cortafuego permite y enmascaran sus ataques dentro de estos protocolos, quedando la red expuesta de nuevo.

La seguridad perimetral es un concepto emergente asume la integración de elementos y sistemas, tanto electrónicos como mecánicos, para la protección de perímetros físicos, detección de tentativas de intrusión y/o disuasión de intrusos en instalaciones especialmente sensibles. Entre estos sistemas cabe destacar los radares tácticos, video sensores, vallas sensorizadas, cables sensores, barreras de microondas e infrarrojos, concertinas, etc.

Una zona desmilitarizada (DMZ, demilitarized zone) o red perimetral es una red local que se ubica entre la red interna de una organización y una red externa, generalmente Internet. El objetivo de una DMZ es que las conexiones desde la red interna y la externa a la DMZ estén permitidas, mientras que las conexiones desde la DMZ sólo se permitan a la red externa -- los equipos (hosts) en la DMZ no pueden conectar con la red interna. Esto permite que los equipos (hosts) de la DMZ puedan dar servicios a la red externa a la vez que protegen la red interna en el caso de que intrusos comprometan la seguridad de los equipos (host) situados en la zona desmilitarizada. Para cualquiera de la red externa que quiera conectarse ilegalmente a la red interna, la zona desmilitarizada se convierte en un callejón sin salida.

Palabras clave – Ataques Informáticos, Seguridad Perimetral, DMZ

Abstract – From the consumerization of computers whose heyday began over two decades ago, along with the arrival of a PC to every home and even the invasion of internet cafes, computer viruses have had free rein to access machines, and in many cases have come to completely destroy large server systems.

There is no doubt that the threat of a virus spread dramatically from the great mass of computers as well as Internet, because through this medium many people use free access to introduce malware on computers , at the innocence of users surfing the net or downloading content from websites and p2p clients.

Many companies, usually for reasons of cost, have migrated to Internet key information, exposing outward. Also, for the convenience of workers seeking telecommuting, companies have had to "open their doors" to allow connection to the office intranet from home. Unfortunately, when attackers compromise entry systems, they also have access to organizational data. Incorporating mechanisms, controls data elements of an organization, and implementation of intrusion detection systems to ensure confidentiality, integrity and availability of information have eased a little problem; a firewall with a correct policy can minimize many networks are exposed.

1

However, attackers are evolving and new techniques such as Trojans, worms and silent scans that traverse firewalls using HTTP protocols allowed as ICMP or DNS appear. The attackers look for vulnerabilities in the few services that the firewall allows and mask their attacks within these protocols, leaving the network exposed again.

Perimeter security is an emerging concept assumes the integration of elements and systems, whether electronic or mechanical, for physical protection perimeters detect intrusion attempts and / or intruder deterrent in sensitive installations. These systems include tactical radar, video sensors, sensorized fences, sensors, cables, microwave and infrared barriers, concertina, etc.

A demilitarized zone (DMZ, demilitarized zone) or perimeter network is a local network that sits between an organization's internal network and an external network, usually the Internet. The purpose of a DMZ is that connections from internal and external network to the DMZ are permitted, whereas connections from the DMZ to allow only external network - computers (hosts) in the DMZ can not connect to the internal network. This allows computers (hosts) in the DMZ to provide services to the external network while protecting the internal network in case intruders compromise the safety of equipment (host) on the DMZ. For any of the external network you want to illegally connect to the internal network, the DMZ becomes a dead end.

Keywords – Computer Attacks, Perimeter Security, DMZs

2

Evolución histórica de los ataques a sistemas computacionales

Desde la masificación en el uso de las computadoras, cuyo mayor auge comenzó hace más de dos décadas, junto con la llegada de una PC a cada hogar e incluso de la invasión de los cibercafes, los virus informáticos han tenido vía libre al acceso de las máquinas, y en muchos casos han llegado a destruir por completo grandes sistemas de servidores. Es indudable que la amenaza de los virus se propagó de una manera espectacular a partir de la gran masificación de las computadoras como así también de Internet, ya que a través de este medio son muchos los que utilizan el libre acceso para introducir malware en los equipos, ante la inocencia de los usuarios que navegan por la red o descargar contenido de websites y clientes p2p.

Es importante mencionar que un virus informático no es otra cosa que un software dañino que ha sido diseñado para que sea capaz de auto ejecutarse y replicarse. Si bien se considera que ya desde la década de los sesenta existe la presencia de malware, lo cierto es que el término "virus informático" fue acuñado en el año 1983 por Fred Cohen. En la historia de la informática, a lo largo de los años han surgido una inmensa cantidad de virus, que sería imposible intentar listarlos a todos, pero algunos de ellos se destacaron del resto, logrando una importante repercusión y fama, radicada por lo general en la capacidad destructiva del malware.

Los virus informáticos más famosos de la historia, que en muchas ocasiones han producido estragos no sólo en computadoras personales, sino también en granjas de servidores que sufrieron la pérdida de su información, provocando trastornos a nivel mundial son:

Core War: No fue un virus informático, sino más bien un juego mediante el cual se propagó uno de los primeros software con características maliciosas que afectaba la memoria de las computadoras y podía auto replicarse.

Este juego fue desarrollado por un grupo de programadores de la compañía Bell Computer, quienes en la década del 60 crearon una sencilla aplicación que competía con el resto de los programas que se ejecutaban en una computadora con el fin de obtener el control absoluto de la memoria del equipo. El primer Core War fue idea de Victor Vyssotsky, Robert Morris Sr. y Dennis Ritchie (creador del lenguaje de programación C) que escribieron un programa llamado "Darwin" en 1960.

Creeper: fue el primer virus que incluía las características típicas de un verdadero malware, Creeper fue creado por Bob Thomas en el año 1971, y fue especialmente escrito para atacar al sistema operativo Tenex.

Reaper: El primer antivirus el cual se propagaba a través de la red en busca de las máquinas infectadas con Creeper para eliminarlo.

Brain: El primer virus masivo En el año 1986 llegó el que fue considerado el primer virus masivo de la historia de la informática, ya que el denominado Brain había sido escrito para atacar el sistema MS-DOS y era totalmente compatible con IBM PC. Fue creado por un grupo de amigos oriundos de la ciudad de Lahore, Paquistán, quienes se encargaron de distribuirlo vendiendo copias del mismo insertadas en diskettes pirateados de programas comerciales, entre los que se encontraban los populares Lotus, SuperCalc y Wordstar.

Gusano de Morris: El Primer Gusano informático, El Gusano MORRIS (1988) fue el primer ejemplar de malware auto replicable que afectó a Internet. El 2 de noviembre de 1988 hizo su aparición el primer gusano (gusano informático) en Internet: Morris Worm. Durante unas horas, aproximadamente el 10% de todas las máquinas de Internet se vieron afectadas por ese 'gusano'.es considerado el primer gusano (worm) y que además llevó a su creador a ser la primera persona condenada por la justicia bajo un delito de fraude y de abuso informático. Ahora Morris es profesor del MIT.

Elk Cloner: Es el primer virus informático conocido que tuvo una expansión real y no como un concepto de laboratorio. Rich Skrenta, un estudiante de instituto de 15 años, lo programó para los Apple II en 1982. El virus Elk Cloner se propagaba infectando los disquetes del sistema operativo de los computadores Apple II. Cuando la computadora arrancaba desde un disquete infectado, también lo hacía el virus de forma automática. Aparte de hacer un seguimiento del acceso al disco, éste virus no afectaba al uso cotidiano del ordenador.

Virus Jerusalem: creado por el sector terrorista en Palestina en el año 1988. Virus que producían mayor o menores daños a las computadoras que lograban infectar.

MacMag: En 1987 se produce el primer contagio masivo de computadora Macintosh, infectadas con el virus denominado MacMag, conocido también como Peace.

CIH: Daño estimado: 20 a 80 millones de dólares, sin contar el precio de la información destruida. Desde Taiwan Junio de 1998, CHI es reconocido como uno de los más peligrosos y destructivos virus jamás vistos. El virus infectó los archivos ejecutables de Windows 95,98 y ME y fué capaz de permanecer residente en memoria de los ordenadores infectados para así infectar otros ejecutables.

Melissa: la "bailarina exótica" de Word Cuando Internet recién comenzaba a tomar fuerza a mediados de 1999, apareció este particular virus creado por David L. Smith y bautizado así por el nombre de una stripper. El archivo llegaba vía e-mail como documento de Word anexado, bajo el título "acá está ese documento que me pediste, no se lo muestres a nadie más". Tras instalarse, desactivaba opciones del procesador de texto y modificaba los documentos utilizados. Su esparcimiento fue rápido, puesto que ocupaba la libreta de direcciones de Outlook y se reenviaba a los primeros 50 contactos.

3

Klez: un virus que se "actualiza". Debutó en 2001, pero ha sido modificado en diversas ocasiones, con lo que marcó "tendencia" para los futuros virus. Tal como es común, a través de un correo infecta, se replica y se reenvía a la lista de contactos de la víctima. Es capaz de anular una CPU, aunque dependiendo de la versión logra alojarse como un Troyano, e incluso aparecer como una herramienta del propio Antivirus. Instauró el "spoofing" como moda, lo que en palabras simples es un correo suplantando un remitente.

Los ataques más recientes

El gran hack de EE.UU.: No tiene nombre oficial porque no afectó a una sola compañía, sino a una larga lista de ellas que incluía el índice bursátil NASDAQ, 7-Eleven, JC. Penney, JetBlue, Dow Jones o Global Payment entre otras. El ataque se prolongó durante siete años desde 2005, y robó los datos de tarjetas bancarias de 160 millones de clientes. Cinco personas de origen ruso fueron acusadas y condenadas por el caso.

Adobe: En octubre de 2013, Adobe reconoció haber sufrido un robo de cuentas bancarias a gran escala. La compañía comenzó dando la cifra de algo menos de tres millones de usuarios. En apenas un mes se descubrió que el ataque afectaba a 152 millones de usuarios registrados según Naked Security. Es posible que nunca se sepa la cifra exacta, porque Adobe sigue manteniendo que solo fueron 38 millones.

eBay: Es el último gran ataque. El asalto a la base de datos de usuarios de la página de comercio online ha obligado a cambiar sus contraseñas a 145 millones de personas. Aún no se ha podido calcular el volumen de la información filtrada.

Heartland: El hacker Albert González fue acusado de coordinar el ataque que se llevó datos de 130 millones de tarjetas de débito y crédito de la multinacional de pagos Heartland Payment Systems. Sucedió en 2008, pero no se hizo público hasta mayo de 2009.

TJX: En enero de 2007, responsables del grupo TJX hicieron público un ataque informático que puso en peligro los datos bancarios de 94 millones de clientes entre sus cadenas de tiendas Marshals, Maxx y T.J.

AOL: Este ataque comenzó desde dentro en 2004. Un ingeniero de la compañía que había sido despedido utilizó sus conocimientos de la empresa para infiltrarse en la red interna de AOL, y robar la lista con los correos de sus 92 millones de usuarios. Después vendió la lista online a un grupo de spammers.

Sony PlayStation Network: El ataque que robó información de las cuentas de 77 millones de usuarios de los servicios PlayStation en todo el mundo supuso un duro golpe para Sony, entre otras cosas porque tardó una semana en reconocer el problema. Tuvo que compensar a los usuarios y recibió varias sanciones en países como Reino Unido.

Veteranos de EE.UU.: Un disco duro que se envió a un servicio técnico en 2009 fue el punto por el que se robaron 76 millones de fichas personales de veteranos de guerra estadounidenses, incluyendo sus números de la seguridad social.

Target: Aunque no tan grande en volumen como los anteriores, el ataque a la cadena de tiendas estadounidense Target fue especialmente peligroso porque lo que los hackers se llevaron fueron números de tarjeta bancaria y claves de 40 millones de personas que utilizaron sus tarjetas en alguna tienda Target a finales de 2013. Otros 30 millones de usuarios vieron vulnerados datos personales como el teléfono o la dirección de email.

Evernote: Este es de los pocos casos en los que la compañía reaccionó tan rápido que no hubo que lamentar daños. En marzo de 2013, Evernote envió una notificación a sus usuarios para que cambiaran sus contraseñas ante indicios de que su red había sido hackeada. No se reportó robó de información personal. La medida fue cautelar.

A partir de aquí, la lista se engrosa con cientos de casos en los que ciberdelincuentes se han hecho con información de cuentas. A veces los afectados se cuentan por millones, otras veces por cientos de miles. Blizzard, Ubisoft, AT&T, Facebook o Apple son solo algunas de las empresas entre la larga lista de compañías cuyos servicios han caído alguna vez víctima de los hackers.

4

Los elementos informáticos que se deben proteger en una organización:

Objetivos de la Seguridad: Seguridad informática es el conjunto de procedimientos, estrategias y herramientas que permitan garantizar la integridad, la disponibilidad y la confidencialidad de la información de una entidad.

Confidencialidad: acceso a la información solo mediante autorización y de forma controlada, En términos de seguridad de la información, la confidencialidad hace referencia a la necesidad de ocultar o mantener secreto sobre determinada información o recursos.

El objetivo de la confidencialidad es, entonces, prevenir la divulgación no autorizada de la información.

Integridad: modificación de la información solo mediante autorización, En términos de seguridad de la información, la integridad hace referencia a la fidelidad de la información o recursos, y normalmente se expresa en lo referente a prevenir el cambio impropio o desautorizado.

Disponibilidad: la información del sistema debe permanecer accesible mediante autorización, En términos de seguridad de la información, la disponibilidad hace referencia a que la información del sistema debe permanecer accesible a elementos autorizados.

Seguridad de la Información

Es el estudio de los métodos y medios de protección de los sistemas de información y comunicaciones frente a revelaciones, modificaciones o destrucciones de la información, o ante fallos de proceso, almacenamiento o transmisión de dicha información, que tienen lugar de forma accidental o intencionada. La seguridad de la información se caracteriza como la protección frente a las amenazas de Confidencialidad, Integridad y Disponibilidad y pueden ser Amenazas de fuerza mayor, fallos de organización, humanos o técnicos o actos malintencionados. Algunas de las amenazas más frecuentes están relacionadas con el incumplimiento de las medidas de seguridad y con la administración incorrecta de los sistemas y la comisión de errores en su configuración y operación. El incumplimiento de las medidas de seguridad, como consecuencia de actos negligentes o falta de controles adecuados o la administración incorrecta del sistema y errores en la configuración de parámetros, originan daños que podrían haber sido evitados o por lo menos minimizados. Según las responsabilidades del usuario y la importancia de la norma incumplida, los daños podrían llegar a ser de gravedad.

Seguridad Física

La seguridad física suministra protección ante accesos no autorizados, daños e interferencias a las instalaciones de la organización y a la información.

Los requisitos sobre seguridad física varían considerablemente según las organizaciones y dependen de la escala y de la organización de los sistemas de información. Pero son aplicables a nivel general los conceptos de asegurar áreas, controlar perímetros, controlar las entradas físicas e implantar equipamientos de seguridad. Las líneas de actuación recomendadas son:

En relación con la adecuación de locales:

• Definir de forma proporcionada las medidas que garanticen la seguridad de las áreas a proteger en relación con los requisitos de seguridad de la información que se almacene o procese.

• Construir barreras físicas del suelo al techo para prevenir entradas no autorizadas o contaminación del entorno. Las ventanas y puertas de las áreas seguras deben estar cerradas y controlarse periódicamente.

• Construir las instalaciones de forma discreta y minimizar las indicaciones sobre su propósito, evitando signos obvios (fuera o dentro del edificio) que identifiquen la presencia de las actividades cuya seguridad se desea.

• No identificar en directorios telefónicos y de los vestíbulos de la organización las localizaciones informáticas.• Proteger los locales de amenazas potenciales como fuego, humos, agua, polvo, vibraciones, agentes químicos o

radiaciones electromagnéticas. Instalar en el área un equipamiento apropiado de seguridad que debe revisarse regularmente de acuerdo con las instrucciones de los fabricantes.

• Separar las áreas de carga y descarga de material de las áreas a proteger.• Documentar debidamente los procedimientos de emergencia y revisar esta documentación de forma regular.

En relación con la instalación de líneas de telecomunicaciones:

• Considerar medidas para proteger los cables de líneas de datos contra escuchas no autorizadas o contra daños.

5

En relación con la ubicación de equipamiento, materiales y copias de respaldo:

• Situar en áreas seguras los equipos a proteger donde se minimicen los accesos innecesarios a las áreas de trabajo, distanciadas de las zonas de acceso público y de las zonas con aproximación directa de vehículos públicos. Definir perímetros de seguridad con las correspondientes barreras y controles de entrada.

• Ubicar los terminales que manejen información y datos sensibles en lugares donde se reduzca el riesgo de que aquellos estén a la vista.

• Almacenar los materiales peligrosos y/o combustibles a una distancia de seguridad del emplazamiento de los ordenadores.

• Ubicar el equipamiento alternativo y copias de respaldo en sitios diferentes y a una distancia conveniente de seguridad.

• En relación con la entrada y salida física de personas y soportes de información:• Controlar la entrada en exclusiva al personal autorizado a las áreas que se hayan definido como áreas a ser

protegidas. Autorizar sólo con propósitos específicos y controlados los accesos a estas áreas, registrando los datos y tiempos de entrada y salida.

• Restringir el acceso a las áreas seguras del personal de los proveedores o de mantenimiento a los casos en que sea requerido y autorizado. Aun con acceso autorizado deben restringirse sus accesos y controlarse sus actividades.

• Definir normas y controles relativos a la posible salida/entrada física de soportes de información.

Seguridad de Sistemas

A la hora de hablar de seguridad en los sistemas, existen numerosos aspectos a ser considerados. Se hace muy difícil listar todos y cada uno de los posibles problemas de seguridad. Para ello existen en Internet herramientas que facilitan esa labor. Uno de los lugares de más reconocidos en esta área es la lista SANS/FBI de las veinte vulnerabilidades más importantes.

La mayoría de los ataques a sistemas computacionales vía Internet que acaban teniendo éxito pueden ser relacionados con el abuso de alguna de las 20 vulnerabilidades aquí descritas. Estas pocas vulnerabilidades son la base de la mayoría de los ataques exitosos, simplemente porque los atacantes son oportunistas - toman el camino más fácil y conveniente.

En el pasado, los administradores de sistemas afirmaban que no corregían muchas de estas brechas simplemente porque no sabían qué vulnerabilidades eran más peligrosas, y estaban demasiado ocupados para corregirlas todas. Algunos escáneres de vulnerabilidades son capaces de buscar 300, 500 o incluso hasta 800 vulnerabilidades, privando a los administradores de sistemas de la perspectiva necesaria para asegurar una adecuada protección contra los ataques más comunes.

Amenazas y ataques. Como protegernos

Las amenazas más comunes que pueden afectar a una empresa son de muchos tipos, pero la mayoría de ellas se pueden englobar en tres categorías básicas:

• Acceso no autorizado. Tiene lugar cuando alguien no autorizado consigue acceder a un recurso y además podría alterarlo.

• Suplantación de identidad. Está relacionado con lo anterior, pero además incluye la capacidad de presentar credenciales de alguien o algo que no se es: apropiación de la clave privada, obtención de usuario/contraseña, etc.

• Denegación de servicio (DoS). Es una interrupción del servicio, generalmente debido a que temporalmente no está disponible. Existen muchos ataques DoS, la mayor parte de ellos producidos desde el protocolo IP. Los más conocidos son:• Ataque SYN de TCP. Cuando se inicia una conexión TCP, el host destino recibe un paquete de sincronización

con el bit SYN activado y contesta con un paquete de acuse de recibo de sincronización con los bits SYN y ACK activados. Para establecer la conexión, el host destino deberá recibir un ACK del SYN/ACK enviado. Un atacante podría beneficiarse de la siguiente forma: una vez que ha enviado un paquete SYN y el servidor ha respondido con SYN/ACK, el cliente no responde con el ACK esperado, creando una conexión medio abierta. Si este proceso se produce repetidas veces llega un momento en que el servidor no es capaz de aceptar nuevas conexiones. Aunque estas conexiones caducan pasado un time-out, el atacante podría seguir enviando paquetes SYN (con IP spoofing: dirección origen falsificada) más rápidamente que este time-out. Así se pueden denegar servicios TCP como correo, web, etc. Por medio de dispositivos firewall o proxy se pueden interceptar y limitar estas conexiones.

• Ping de la muerte. Explota el punto débil de la fragmentación de grandes paquetes de petición de ECHO del protocolo ICMP. Si enviamos un paquete muy grande, el receptor puede tener problemas al reensamblarlo. Si esto lo realizamos de forma continuada produciremos sobrecarga tanto en la red como el sistema atacado. La

6

variante SMURF hace esto mismo pero a las direcciones de broadcast de una subred, por lo que todas las máquinas de la subred responderán a esta dirección. Si además el atacante realiza IP spoofing, todas las máquinas de la subred enviarán un paquete de respuesta a esta dirección IP.

Los principales orígenes de los ataques son personas (empleados, exempleados, curiosos, piratas, terroristas, intrusos remunerados, etc.), software (defectuoso, herramientas de seguridad, puertas traseras, bombas lógicas, canales ocultos, virus, gusanos, caballos de Troya) y catástrofes (incendios, inundaciones, etc.). La mayor parte de incidentes de seguridad son realizados por software del tipo gusanos y virus.

Para protegernos de estos ataques hay una serie de pasos que debemos realizar en cualquier infraestructura de red. Son los siguientes:

• Análisis de amenazas. Consiste en identificar las amenazas que podemos sufrir, los recursos que poseemos y asignar un valor a cada recurso. Una amenaza puede ser cualquier persona, objeto o evento que si se consuma puede causar daños en nuestra red, y posibles pérdidas económicas.

• Evaluación de posibles pérdidas y su probabilidad. Hay que evaluar cuales son las consecuencias inmediatas y futuras de una amenaza consumada, teniendo en cuenta su probabilidad. Cuanto mayor sea la posibilidad de producirse, más estrictas deberán ser las medidas de seguridad. Hay que decidir qué recurso requiere protección. Las pérdidas más comunes son: robo de datos, pérdida de la integridad de los datos e indisponibilidad de los recursos.

• Definición de una política de seguridad. Una vez identificados los recursos vitales y analizadas las amenazas, es el momento de diseñar la normativa de seguridad. Esta política contiene las directrices y procedimientos en materia de seguridad que los miembros de una organización deben seguir para asegurar la misma. Para que una política de seguridad sea efectiva deberá ser aceptada y apoyada por todos los niveles de empleados de una organización, especialmente el cuerpo directivo. En la redacción de la misma deberán estar implicados varios agentes. En primer lugar la dirección -que tiene el presupuesto y la autoridad-, en segundo lugar el personal técnico (administradores de sistemas, red y seguridad) –que conoce qué puede y qué no puede técnicamente hacerse-, en tercer lugar una representación de los grupos de usuarios afectados por la política de seguridad (dando la formación pertinente si es necesario) y por último un asesoramiento legal. Una buena política de seguridad se caracteriza por su capacidad de generar los procedimientos y publicaciones técnico administrativas pertinentes, de ser aplicada eficazmente (mediante herramientas de seguridad o sanciones ahí donde la prevención no fuera técnicamente posible) y de definir con claridad las áreas de responsabilidad de usuarios, administradores y directivos.

• Implantación de la política. Una vez definida hay que llevarla a cabo realizando el diseño de los elementos, asi como la adquisición y configuración de los mismos.

Por otra parte también es necesario saber qué hacer en caso de tener algún incidente de seguridad. Es muy importante tener un plan operativo en el caso de cualquier problema de seguridad para poder reaccionar. El resultado de no hacerlo así puede ser una toma de decisiones apresurada que dañe el seguimiento de la fuente del incidente, la recopilación de pruebas para la persecución del atacante, la recuperación del sistema y la protección de datos valiosos. Un plan o política de gestión de incidentes de seguridad deberá incluir:

• Preparación y planificación (cuales son los objetivos en la gestión de un incidente)• Notificación (quién debe contactarse en el caso de un incidente)• Identificación de un incidente (si es un incidente y cómo es de serio)• Gestión (que debería hacerse cuando ocurre un incidente)• Notificación (quién debería ser informado sobre el incidente)• Protección de las pruebas y logs de actividad (qué registros deberían guardarse antes, durante y después del

incidente)• Contención (cómo puede limitarse el daño)• Erradicación (cómo eliminar las causas del incidente)• Recuperación (cómo restablecer el servicio y los sistemas)• Seguimiento (qué acciones deberían tomarse después de un incidente)• Repercusiones (cuáles son las implicaciones de incidentes pasados)• Respuesta administrativa a incidentes.

Seguridad de la información: modelo PDCA

Dentro de la organización el tema de la seguridad de la información es un capítulo muy importante que requiere dedicarle tiempo y recursos. La organización debe plantearse un Sistema de Gestión de la Seguridad de la Información (SGSI).

7

El objetivo de un SGSI es proteger la información y para ello lo primero que debe hacer es identificar los 'activos de información' que deben ser protegidos y en qué grado.

Luego debe aplicarse el plan PDCA ('PLAN – DO – CHECK – ACT'), es decir Planificar, Hacer, Verificar, Actuar y volver a repetir el ciclo.

Se entiende la seguridad como un proceso que nunca termina ya que los riesgos nunca se eliminan, pero se pueden gestionar. De los riesgos se desprende que los problemas de seguridad no son únicamente de naturaleza tecnológica, y por ese motivo nunca se eliminan en su totalidad.

Desde la aparición de los grandes sistemas aislados hasta nuestros días, en los que el trabajo en red es lo habitual, los problemas derivados de la seguridad de la información han ido también cambiando, evolucionando, pero están ahí y las soluciones han tenido que ir adaptándose a los nuevos requerimientos técnicos. Aumenta la sofisticación en el ataque y ello aumenta la complejidad de la solución, pero la esencia es la misma.

8

9

Generar un gráfico donde se muestre la línea de tiempo de los diferentes ataques informáticos, indicando las fechas y los daños causados, al menos se deben indicar diez ataques, ESTE GRÁFICO DEBE SER UN MAPA MENTAL. (No se admiten copiados de la WEB).

CIH: El virus infectó los archivos ejecutables de Windows 95,98 y ME.

1998

1982

Elk Cloner: se propagaba infectando los disquetes del sistema operativo de los computadores Apple II.

1971

Creeper: fue el primer virus que incluía las características típicas de un verdadero malware.

Brain: El primer virus masivo para atacar el sistema MS-DOS

1986

1988Gusano de Morris: El Primer Gusano informático fue el primer ejemplar de malware auto

Virus Jerusalem: creado por el sector terrorista en Palestina. Virus que producían mayor o menores daños a las computadoras que lograban infectar.

1987

MacMag: se produce el primer contagio masivo de computadoras Macintosh, infectadas con el virus denominado también como Peace.

1999

Melissa: El archivo llegaba vía e-mail como documento de Word anexado, bajo el título "acá está ese documento que me pediste, no se lo muestres a nadie más". Tras instalarse, desactivaba opciones del procesador de texto y modificaba los documentos utilizados.

ATAQUES INFORMATICOS

2001

Klez : un virus que se "actualiza", a través de un correo infecta, se replica y se reenvía a la lista de contactos de la víctima. Es capaz de anular una CPU, aunque dependiendo de la versión logra alojarse como un Troyano.

El gran hack de EE.UU.: No tiene nombre oficial porque no afectó a una sola compañía, sino a una larga lista de ellas y robó los datos de tarjetas bancarias de 160 millones de clientes. Cinco personas de origen ruso fueron acusadas y condenadas

2005

Heartland: El hacker Albert González fue acusado de coordinar el ataque que se llevó datos de 130 millones de tarjetas de débito y crédito de la multinacional de pagos Heartland Payment Systems. Sucedió en 2008, pero no se hizo público hasta mayo de

2007TJX: En enero de 2007, responsables del grupo TJX hicieron público un ataque informático que puso en peligro los datos bancarios de 94 millones de clientes entre sus cadenas de tiendas Marshals, Maxx y T.J.

2008

Target: El ataque a la cadena de tiendas estadounidense Target fue especialmente peligroso porque lo que los hackers se llevaron fueron números de tarjeta bancaria y claves de 40 millones de personas que utilizaron sus tarjetas en alguna tienda Target a finales de 2013. Otros 30 millones de usuarios vieron vulnerados datos personales como el teléfono o la dirección de email.

2013

10

Determinar cuáles son los elementos informáticos más importantes a ser protegidos en una organización que cuenta con una Intranet y que el acceso se proyecta realizar a través de un DMZ y que apenas cuentan con un proxy, indique los elementos que se deben configurar, marcas de equipos y elementos que van a proteger y el esquema de protección para clientes internos y clientes externos.

Los servidores Proxy permiten dar seguridad y mejorar el acceso a páginas Web, conservándolas en la caché. De este modo, cuando un usuario envía una petición para acceder a una página Web que está almacenada en la caché, la respuesta y el tiempo de visualización es más rápido.

Los servidores Proxy aumentan también la seguridad ya que pueden filtrar cierto contenido Web y programas maliciosos.

Con el DMZ es una red perimetral lo que hace es que, el que ingrese de afuera no ingrese a la intranet directamente y a través del proxy hay una petición

Los elementos más importantes a proteger son los tangibles e intangibles.

Tangibles: equipos activos, pcs, entre otros.

Intangibles: Bases de Datos. (Nomina, Inventarios, Datos de clientes.).

El punto más débil de la seguridad es el usuario Final

Hoy en día, la seguridad informática se ha convertido en punto crítico de las comunicaciones realizadas a través de Internet, debido al gran número de amenazas contra los datos expuestos al viajar a través de este medio. Estas amenazas se presentan en distintas formas, tienen como propósito causar el mayor daño posible a la información almacenada en los sistemas. Las principales amenazas son: los virus informáticos, los gusanos de Internet, el spyware, caballos de Troya, el pharming, el pshishing scam, ataques de negación de servicio(Dos,Ddos), entre otros.

Las organizaciones están invirtiendo una gran cantidad de recursos en infraestructura que permite mantener protegidos sus activos (información sensitiva), así como también se esfuerzan en contratar personal de Tecnologías de la Información, especializados en seguridad informática, que cuenta con los conocimientos necesarios para manejar dicha infraestructura.

¿Cuál es el verdadero problema? La respuesta es simple, se ha dejado de pensar en el eslabón más débil de la cadena de la seguridad informática: el usuario final. Las organizaciones tanto privadas como gubernamentales han ignorado por completo los problemas serios que están sufriendo los usuarios que poseen un conocimiento escaso de la seguridad informática mientras sus equipos se encuentran conectados a Internet.

Los distribuidores de los distintos sistemas operativos tampoco han tomado en cuenta que el usuario final paga las consecuencias de no tener un conocimiento técnico de todos los problemas que los afectan haciendo más fácil que un atacante realice sus actividades maliciosas.

Los usuarios finales están siendo víctimas de distintos delitos cibernéticos que afectan su economía o su privacidad, como el fraude en línea o el robo de información personal como contraseñas de correo electrónico. Todo esto se debe que no se ha invertido el suficiente esfuerzo ni los recursos necesarios para generar una verdadera campaña de información que permite llevar el conocimiento de la seguridad informática al usuario “casero” de forma simple y fácil de comprender.

11

Lo que se debe configurar:

Dual firewall

Un planteamiento más seguro es usar dos cortafuegos, esta configuración ayuda a prevenir el acceso desde la red externa a la interna. Este tipo de configuración también es llamado cortafuegos de subred monitorizada (screened-subnet firewall). Se usan dos cortafuegos para crear la DMZ. El primero (llamado "front-end") debe permitir el tráfico únicamente del exterior a la DMZ. El segundo (llamado "back-end") permite el tráfico únicamente desde la DMZ a la red interna.

Fig. 1. Diagrama DMZ, Implementado dos Firewalls

Screened Host:

Es un equipo que protege una máquina de ataques externos, a través de un filtrado de paquetes. Este filtrado es básico, en esencia no acepta paquetes del exterior que no sean respuesta de una petición de una máquina interna.

Screened LAN:

Es similar al anterior, excepto que no protegernos una sola máquina, sino dos o más equipos (una red), este modelo no ofrece seguridad si el ataque es generado desde el interior a un equipo de la misma red.

Bastion Host:

Este tiene características del screened host, con la diferencia que se permiten accesos desde afuera a ciertos servicios (SMTP, HTTP, DNS....) en la red interna.

Lo que necesitamos:

Hardware

• Una PC (Preferentemente servidor) HD 20 GB, P2 300 Mhz, 64 MB RAM, 3 NICs 10/100.• 2 Switches

Software

• OpenBSD 3.8 http://www.openbsd.org/• Squid cache http://www.squid-cache.org/• Softflowd http://www2.mindrot.org/files/softflowd/

12

REFERENCIAS

[1] Los Peores ataques informáticos de la historia.: Taringa. [En línea]. Disponible: http://www.taringa.net/posts/noticias/16350202/Los-Peores-ataques

informaticos-de-la-historia.html

[2] Así fueron los mayores ataques informáticos de la historia.: Gizmodo. [En línea]. Disponible: http://es.gizmodo.com/los-10-mayores-ataques-informaticos-de-la-historia-

1580249145

[3] Capitulo 1: Seguridad Informática Conceptos Básicos. [En línea]. Disponible: http://catarina.udlap.mx/u_dl_a/tales/documentos/lis/jerez_l_ca/capitulo1.pdf

[4] Protección de la Información. [En línea]. Disponible: http://webs.uvigo.es/jlrivas/downloads/publicaciones/protinf.pdf

[5] Diseño de un esquema de seguridad para la INTRANET y EXTRANET del CONESUP. [En línea]. Disponible: http://webs.uvigo.es/jlrivas/downloads/publicaciones/protinf.pdf

[6] Implementación de técnicas de seguridad remota. Seguridad perimetral. [En línea]. Disponible: http://mgarciafelipe.files.wordpress.com/2012/01/ud-3-implementacion-de-

tecnicas-de-seguridad-remota-seguridad-perimetral-miguelangelgarcia.pdf

13