San Juan de Colón, Mayo de 2015

REPÚBLICA BOLIVARIANA DE VENEZUELAMINISTERIO DEL PODER POPULAR PARA LA EDUCACIÓN

UNIVERSITARIA CIENCIA Y TECNOLOGÍAINSTITUTO UNIVERSITARIO DE TECNOLOGÍA AGRO-INDUSTRIAL

PNF INFORMÁTICA

{Seguridad

informática}

AUTOR:

Duque Luis C.I. 21.452.675

ÍNDICE

SEGURIDAD INFORMÁTICA...................................................................................4LA SEGURIDAD DE LA INFORMACIÓN................................................................4HACKER.......................................................................................................................4

TERMINOLOGÍA.....................................................................................................6OverHat..................................................................................................................6White hat y black hat..............................................................................................6Samurái...................................................................................................................7Phreaker..................................................................................................................7Lammer o script-kiddie..........................................................................................7Newbie...................................................................................................................7Otros términos........................................................................................................7

INGENIERÍA SOCIAL.................................................................................................7ATAQUE INFORMÁTICO..........................................................................................8

ATAQUE DE DENEGACIÓN DE SERVICIOS......................................................8Métodos de Ataque.................................................................................................9Impacto en la Red.................................................................................................10

ATAQUE DE DÍA CERO.......................................................................................10Vías de ataque......................................................................................................10Protección.............................................................................................................10

ATAQUE DE FUERZA BRUTA............................................................................11ATAQUE DE REPLAY........................................................................................11

Suplantación de identidad....................................................................................11Denegación de servicio........................................................................................12

ATAQUE MAN-IN-THE-MIDDLE.......................................................................12Un ejemplo de criptografía de clave pública........................................................13Defensas contra el ataque.....................................................................................13

AGUJERO DE SEGURIDAD.....................................................................................13Tipos de vulnerabilidades según la naturaleza del mismo:......................................14Casos famosos..........................................................................................................15

EXPLOIT.....................................................................................................................15Clasificación............................................................................................................16

Exploit remoto......................................................................................................16Exploit local.........................................................................................................16Exploit ClientSide................................................................................................16

Frameworks de exploits...........................................................................................17“Exploits” en los videojuegos..................................................................................17

SPOOFING..................................................................................................................17IP Spoofing..............................................................................................................17ARP Spoofing..........................................................................................................18DNS Spoofing..........................................................................................................18Web Spoofing..........................................................................................................18Mail Spoofing..........................................................................................................19

GPS Spoofing...........................................................................................................19SEGURIDAD POR OSCURIDAD.............................................................................19

Introducción.............................................................................................................20Argumentos contra la seguridad por oscuridad.......................................................20En la práctica............................................................................................................21

SISTEMA DE PREVENCIÓN DE INTRUSOS.........................................................22Funcionamiento........................................................................................................22Detección basada en firmas.....................................................................................23Detección basada en políticas..................................................................................23Detección basada en anomalías...............................................................................23Detección honey pot (jarra de miel).........................................................................24

SISTEMA DE DETECCIÓN DE INTRUSOS...........................................................24Funcionamiento........................................................................................................24Tipos de IDS............................................................................................................24

HIDS (HostIDS):..................................................................................................25NIDS (NetworkIDS):...........................................................................................25

Sistemas pasivos y sistemas reactivos.....................................................................25Comparación con Cortafuegos.................................................................................25Mecanismos de detección de un ataque...................................................................25

Patrón...................................................................................................................25Implementación....................................................................................................26

ISO/IEC 27001............................................................................................................26Evolución.................................................................................................................26Implantación............................................................................................................28Certificación.............................................................................................................28Otros SGSI...............................................................................................................30

ANTIVIRUS................................................................................................................31Métodos de contagio................................................................................................31Seguridad y métodos de protección.........................................................................31Tipos de antivirus.....................................................................................................31Copias de seguridad (pasivo)...................................................................................32

Planificación.........................................................................................................32Consideraciones de software................................................................................32Consideraciones de la red.....................................................................................33Formación del usuario..........................................................................................33Antivirus...............................................................................................................33Firewalls...............................................................................................................34Reemplazo de software........................................................................................34Centralización y backup.......................................................................................34Empleo de sistemas operativos más seguros........................................................34Temas acerca de la seguridad...............................................................................35

Sistemas operativos más atacados...........................................................................35Plataformas Unix, inmunes a los virus de Windows............................................36

1. SEGURIDAD INFORMÁTICA

La seguridad informática o seguridad de tecnologías de la información es el área de la informática que se enfoca en la protección de la infraestructura computacional y todo lo relacionado con esta y especialmente, la información contenida o circulante. Para ello existen una serie de estándares, protocolos, métodos, reglas, herramientas y leyes concebidas para minimizar los posibles riesgos a la infraestructura o a la información. La seguridad informática comprende software (bases de datos, metadatos, archivos), hardware y todo lo que la organización valore (activo) y signifique un riesgo si esta información confidencial llega a manos de otras personas, convirtiéndose, por ejemplo, en información privilegiada.

La seguridad informática es la disciplina que se ocupa de diseñar las normas, procedimientos, métodos y técnicas destinados a conseguir un sistema de información seguro y confiable.

Es también la necesidad de salvaguardar la ventaja organizacional, incluyendo información y equipos físicos, tales como los mismos computadores. Nadie a cargo de seguridad debe determinar quién y cuándo se puede tomar acciones apropiadas sobre un ítem en específico. Cuando se trata de la seguridad de una compañía, lo que es apropiado varía de organización a organización. Independientemente, cualquier compañía con una red debe de tener una política de seguridad que se dirija a conveniencia y coordinación.

2. LA SEGURIDAD DE LA INFORMACIÓN

La seguridad de la información es el conjunto de medidas preventivas y reactivas de las organizaciones y de los sistemas tecnológicos que permiten resguardar y proteger la información buscando mantener la confidencialidad, la disponibilidad e integridad de la misma.

En la seguridad de la información es importante señalar que su manejo está basado en la tecnología y debemos de saber que puede ser confidencial: la información está centralizada y puede tener un alto valor. Puede ser divulgada, mal utilizada, ser robada, borrada o saboteada. Esto afecta su disponibilidad y la pone en riesgo. La información es poder, y según las posibilidades estratégicas que ofrece tener acceso a cierta información, ésta se clasifica como:

Crítica: Es indispensable para la operación de la empresa.

Valiosa: Es un activo de la empresa y muy valioso.

Sensible: Debe de ser conocida por las personas autorizadas

4

3. HACKER

El término hacker tiene diferentes significados. Según el diccionario de los hackers, es todo individuo que se dedica a programar de forma entusiasta, o sea un experto entusiasta de cualquier tipo, que considera que poner la información al alcance de todos constituye un extraordinario bien. De acuerdo a Eric Raymond el motivo principal que tienen estas personas para crear software en su tiempo libre, y después distribuirlos de manera gratuita, es el de ser reconocidos por sus iguales. El término hacker nace en la segunda mitad del siglo XX y su origen está ligado con los clubes y laboratorios del MIT.

En informática, un hacker, es una persona que pertenece a una de estas comunidades o subculturas distintas, pero no completamente independientes:

En seguridad informática este término concierne principalmente a entradas remotas no autorizadas por medio de redes de comunicación como Internet (“Black hats”). Pero también incluye a aquellos que depuran y arreglan errores en los sistemas (“White hats”) y a los de moral ambigua como son los “Grey hats”.

Una comunidad de entusiastas programadores y diseñadores de sistemas originada en los sesenta alrededor del Instituto Tecnológico de Massachusetts (MIT), el Tech Model Railroad Club (TMRC) y el Laboratorio de Inteligencia Artificial del MIT. Esta comunidad se caracteriza por el lanzamiento del movimiento de software libre.«How To Become A Hacker».El RFC 1392 amplia este significado como “persona que se disfruta de un conocimiento profundo del funcionamiento interno de un sistema, en particular de computadoras y redes informáticas” Leer historia del término

La comunidad de aficionados a la informática doméstica, centrada en el hardware posterior a los setenta y en el software (juegos de computadora, crackeo de software, la demoscene) de entre los ochenta/noventa.

Se utiliza la palabra Hacker, para describir a una persona que practica la programación informática, con una especie de pasión artística, o que forma parte de la cultura de los hackers, es decir al grupo de programadores que históricamente están en los orígenes de Internet, en Linux y en la World Wide Web.

Desde que se usó por primera vez la palabra Hacker ésta ha sido mal utilizada, mal interpretada y encasillada en un contexto errado, antes que nada, aclaremos que el término Hacker no tiene nada que ver con actividades delictivas, si bien muchos Hackers cometen errores, la definición no tiene nada que ver con ello.

Definición 1: Término para designar a alguien con talento, conocimiento, inteligencia e ingenio, especialmente relacionada con las operaciones de computadora, redes, seguridad, etc.

5

Definición 2: Persona que disfruta aprendiendo detalles de los sistemas de programación y cómo extender sus capacidades, tan intensamente como, al contrario, muchos usuarios prefieren aprender sólo el mínimo necesario.

En la actualidad se usa de forma corriente para referirse mayormente a los criminales informáticos, debido a su utilización masiva por parte de los medios de comunicación desde la década de 1980. Según Helen Nissenbaum que los hackers sean mal vistos ayuda al gobierno y a los poderes privados con dos cosas: 1) a definir lo que es normal en el mundo computacional haciendo creer que un buen ciudadano es todo lo que el hacker no es; 2) a justificar la seguridad, la vigilancia y el castigo.

A los criminales se les pueden sumar los llamados "script kiddies", gente que invade computadoras, usando programas escritos por otros, y que tiene muy poco conocimiento sobre cómo funcionan. Este uso parcialmente incorrecto se ha vuelto tan predominante que, en general, un gran segmento de la población no es consciente de que existen diferentes significados.

Mientras que los hackers aficionados reconocen los tres tipos de hackers y los hackers de la seguridad informática aceptan todos los usos del término, los hackers del software libre consideran la referencia a intrusión informática como un uso incorrecto de la palabra, y se refieren a los que rompen los sistemas de seguridad como "crackers" (analogía de “safecracker”, que en español se traduce como “un ladrón de cajas fuertes”).

3.1 TERMINOLOGÍA

OverHatUn término acuñado a mediados del año 2014 por un Hacker de la comunidad Underground llamado T4r4t3uX, quien definió como “sobre el sombrero” a todos los profesionales vinculados con las artes Hacking. En un corto escrito, explica como a través del tiempo deben comprender y aprender todas las formas existentes de “Hackeo”. Lo cual causa una doble moral, por un lado existe la ética a la cual han sido fieles y por ello prestan servicios profesionales a miles de empresas en el mundo asegurando su infraestructura; por otro, conocer y usar métodos propios de los BlackHat que incluyen ataques de denegación de servicio e ingeniería social agresiva entre otros. Según el escrito, están por encima del bien y del mal electrónico, lo cual concluye que solo una amplia capacidad moral autodeterminada por ellos mismos los convierte en profesionales con la capacidad de determinar adecuadamente y con las regulaciones de la actual sociedad.

White hat y black hatUn hacker de sombrero blanco (del inglés, white hat), en jerga informática, se refiere a una ética hacker que se centra en asegurar y proteger los sistemas de Tecnologías de información y comunicación. Estas personas suelen trabajar para empresas de seguridad informática las cuales los denominan, en ocasiones, «zapatillas o equipos tigre».

Por el contrario, los hackers de sombrero negro ( del inglés, black hat), también conocidos como "crackers" muestran sus habilidades en informática rompiendo sistemas de seguridad de computadoras, colapsando servidores, entrando a zonas restringidas, infectando redes o

6

apoderándose de ellas, entre otras muchas cosas utilizando sus destrezas en métodos hacking.

En los últimos años, los términos sombrero blanco y un sombrero negro han sido aplicados a la industria del posicionamiento en buscadores (search engine optimization, SEO). Las tácticas de posicionamiento en buscadores de los hackers de sombrero negro, también llamada spamdexing, intento de redireccionar los resultados de la búsqueda a páginas de destino particular, son una moda que está en contra de los términos de servicio de los motores de búsqueda, mientras que los hackers de sombrero blanco, utilizan métodos que son generalmente aprobados por los motores de búsqueda.

SamuráiNormalmente es alguien contratado para investigar fallos de seguridad, que investiga casos de derechos de privacidad, esté amparado por la primera enmienda estadounidense o cualquier otra razón de peso que legitime acciones semejantes. Los samuráis desdeñan a los crackers y a todo tipo de vándalos electrónicos. También se dedican a hacer y decir cómo saber sobre la seguridad con sistemas en redes

PhreakerDe phone freak (“monstruo telefónico”). Son personas con conocimientos amplios tanto en teléfonos modulares (TM) como en teléfonos móviles.

Lammer o script-kiddieEs un término coloquial inglés aplicado a una persona falta de habilidades técnicas, generalmente no competente en la materia, que pretende obtener beneficio del hacking sin tener los conocimientos necesarios. Su alcance se basa en a buscar y descargar programas y herramientas de intrusión informática, cibervandalismo, propagación de software malicioso para luego ejecutarlo como simple usuario, sin preocuparse del funcionamiento interno de éstos ni de los sistemas sobre los que funcionan. En muchos casos presume de conocimientos o habilidades que no posee.

NewbieNewbie es un alguien nuevo al hacking o al phreaking y que no posee casi nada de conocimiento o experiencia en el manejo de tecnología y hacking.

Otros términosEn seguridad informática, el término bluejacking se refiere a una técnica consistente en enviar mensajes no solicitados entre dispositivos Bluetooth, como por ejemplo teléfonos móviles, PDAs o portátiles. La tecnología Bluetooth tiene un alcance limitado de unos 10 metros normalmente en dispositivos pequeños (como teléfonos móviles) aunque otros aparatos más grandes (como portátiles) con transmisores más potentes pueden alcanzar los 100 metros. Bluejacking generalmente es inofensivo, ya que bluejacker no intercepta nada: únicamente utiliza una característica en su dispositivo, y en el del receptor. Ambas partes mantienen el control casi absoluto sobre su dispositivo, y el bluejacker no puede hacer casi nada.

7

El término fue acuñado por un consultor informático de Malasia juntando el nombre de Bluetooth con su nombre de usuario, ajack, en un foro de usuarios de Sony Ericsson.

4. INGENIERÍA SOCIAL

Ingeniería social es la práctica de obtener información confidencial a través de la manipulación de usuarios legítimos. Es una técnica que pueden usar ciertas personas, tales como investigadores privados, criminales, o delincuentes informáticos, para obtener información, acceso o privilegios en sistemas de información que les permitan realizar algún acto que perjudique o exponga la persona u organismo comprometido a riesgo o abusos. El principio que sustenta la ingeniería social es el que en cualquier sistema “los usuarios son el eslabón débil”. En la práctica, un ingeniero social usará comúnmente el teléfono o Internet para engañar a la gente, fingiendo ser, por ejemplo, un empleado de algún banco o alguna otra empresa, un compañero de trabajo, un técnico o un cliente. Vía Internet o la web se usa, adicionalmente, el envío de solicitudes de renovación de permisos de acceso a páginas web o memos falsos que solicitan respuestas e incluso las famosas cadenas, llevando así a revelar información sensible, o a violar las políticas de seguridad típicas. Con este método, los ingenieros sociales aprovechan la tendencia natural de la gente a reaccionar de manera predecible en ciertas situaciones, -por ejemplo proporcionan- do detalles financieros a un aparente funcionario de un banco- en lugar de tener que encontrar agujeros de seguridad en los sistemas informáticos.

5. ATAQUE INFORMÁTICO

Un ataque informático es un método por el cual un individuo, mediante un sistema informático, intenta tomar el control, desestabilizar o dañar otro sistema informático (ordenador, red privada, etcétera).

Hay diversos tipos de ataques informáticos. Algunos son:

5.1. ATAQUE DE DENEGACIÓN DE SERVICIOS

En seguridad informática, un ataque de denegación de servicios, también llamado ataque DoS (de las siglas en inglés Denial of Service) o DDoS (de Distributed Denial of Service), es un ataque a un sistema de computadoras o red que causa que un servicio o recurso sea inaccesible a los usuarios legítimos. Normalmente provoca la pérdida de la conectividad de la red por el consumo del ancho de banda de la red de la víctima o sobrecarga de los recursos computacionales del sistema de la víctima. Un ejemplo notable de este tipo de ataque se produjo el 27 de marzo de 2013, cuando un ataque de una empresa a otra inundó la red de spam provocando una ralentización generalizada de Internet e incluso llegó a afectar a puntos clave como el nodo central de Londres.

Se genera mediante la saturación de los puertos con flujo de información, haciendo que el servidor se sobrecargue y no pueda seguir prestando servicios; por eso se le denomina “denegación”, pues hace que el servidor no dé abasto a la cantidad de solicitudes. Esta técnica es usada por los llamados crackers para dejar fuera de servicio servidores objetivos.

8

Una ampliación del ataque DoS es el llamado ataquedisataque DDoS (de las siglas en inglés Distributed Denial of Service) el cual se lleva a cabo generando un gran flujo de información desde varios puntos de conexión. La forma más común de realizar un DDoS es a través de una botnet, siendo esta técnica el ciberataque más usual y eficaz por su sencillez tecnológica.

En ocasiones, esta herramienta ha sido utilizada como un buen método para comprobar la capacidad de tráfico que un ordenador puede soportar sin volverse inestable y afectar a los servicios que presta. Un administrador de redes puede así conocer la capacidad real de cada máquina.

a. Métodos de Ataque

Un ataque de denegación de servicio impide el uso legítimo de los usuarios al usar un servicio de red. El ataque se puede dar de muchas formas. Pero todas tienen algo en común: utilizan la familia de protocolos TCP/IP para conseguir su propósito.

Un ataque DoS puede ser perpetrado de varias formas. Aunque básicamente consisten en:

Consumo de recursos computacionales, tales como ancho de banda, espacio de disco, o tiempo de procesador.

Alteración de información de configuración, tales como información de rutas de encaminamiento.

Alteración de información de estado, tales como interrupción de sesiones TCP (TCP reset).

Interrupción de componentes físicos de red.

Obstrucción de medios de comunicación entre usuarios de un servicio y la víctima, de manera que ya no puedan comunicarse adecuadamente.

Inundación SYN (SYN Flood): (Principios de TCP/IP) Cuando una máquina se comunica mediante TCP/IP con otra, envía una serie de datos junto a la petición real. Estos datos forman la cabecera de la solicitud. Dentro de la cabecera se encuentran unas señalizaciones llamadas Flags (banderas). Estas señalizaciones (banderas) permiten iniciar una conexión, cerrarla, indicar que una solicitud es urgente, reiniciar una conexión, etc. Las banderas se incluyen tanto en la solicitud (cliente), como en la respuesta (servidor).

Inundación ICMP (ICMP Flood): Agota el ancho de banda de la víctima. Consiste en enviar de forma continuada un número elevado de paquetes ICMP Echo request (ping) de tamaño considerable a la víctima, de forma que esta ha de responder con paquetes ICMP Echo reply (pong) lo que supone una sobrecarga tanto en la red como en el sistema de la víctima.

9

SMURF: El ataque Smurf, el atacante dirige paquetes ICMP tipo "echo request" (ping) a una dirección IP de broadcast, usando como dirección IP origen, la dirección de la víctima (Spoofing). Se espera que los equipos conectados respondan a la petición, usando “Echo reply”, a la máquina origen (víctima).

Inundación UDP (UDP Flood): Genera grandes cantidades de paquetes UDP contra la víctima elegida. Debido a la naturaleza sin conexión del protocolo UDP, este tipo de ataques suele venir acompañado de IP spoofing.

b. Impacto en la Red

A nivel global, este problema ha ido creciendo, en parte por la mayor facilidad para crear ataques y también por la mayor cantidad de equipos disponibles mal configurados o con fallos de seguridad que son explotados para generar estos ataques. Se ve un aumento en los ataques por reflexión y de amplificación por sobre el uso de botnets.

A principios de 2014, el uso de ataques basados en protocolos UDP ha aumentado significativamente. Actualmente ocurren importantes incidentes con ataques basados en CHARGEN, NTP y DNS. De acuerdo al reporte de DDOS de Prolexic de Q1 2014, el ancho de banda promedio de los ataques creció en un 39% respecto a los ataques del 2013. Respecto del mismo trimestre del 2013, hubo un 47% de aumento en la cantidad de ataques y un 133% de crecimiento del ancho de banda punta (peak) de los ataques.

6. ATAQUE DE DÍA CERO

Un ataque de día-cero (en inglés zero-day attack o 0day attack) es un ataque contra una aplicación o sistema que tiene como objetivo la ejecución de código malicioso gracias al conocimiento de vulnerabilidades que, por lo general, son desconocidas para la gente y el fabricante del producto. Esto supone que aún no hayan sido arregladas. Este tipo de exploit circula generalmente entre las filas de los potenciales atacantes hasta que finalmente es publicado en foros públicos. Un ataque de día cero se considera uno de los más peligrosos instrumentos de una guerra informática.

Vías de ataque

Los que se dedican al malware son capaces de aprovecharse de estas vulnerabilidades mediante diferentes vías de ataque. Por ejemplo, códigos en webs que revelan vulnerabilidades en navegadores. Los navegadores son un objetivo especial debido a su amplia distribución y uso. Otra forma de aprovechar estos fallos es utilizar aplicaciones que abren ciertos documentos que revelan los fallos. Los exploits que pueden mejorar el software se revelan en bases de datos como US-CERT. Se puede diseñar malware para aprovecharse de estos exploits y conseguir información confidencial como contraseñas bancarias.

10

Protección

La protección día-cero es la habilidad de proporcionar protección contra exploits día-cero. Por ejemplo, para limitar los ataques día-cero referentes a vulnerabilidades en memoria, se usan técnicas como buffer overflows. Estos mecanismos de protección se pueden encontrar en sistemas operativos actuales como Microsoft Windows, Solaris, GNU/Linux, Unix y Mac OS X.

Mediante métodos como el "golpeo de puertos" se proporciona seguridad frente a ataques en servicios de red, aunque estos sistemas de protección no suelen ser útiles para redes con gran cantidad de usuarios.

Empresas como Gama-Sec en Israel y DataClone Labs en Reno, Nevada, ayudan a esta protección mediante el Proyecto ZeroDay que proporciona información sobre futuros ataques y vulnerabilidades.

Otro medio para evitar estos ataques es esperar un tiempo razonable para actualizar una versión. Las vulnerabilidades del nuevo software suelen ser arregladas en las primeras actualizaciones del mismo. Es recomendable actualizar el software para arreglar los posibles fallos existentes en el software.

7. ATAQUE DE FUERZA BRUTA

En criptografía, se denomina ataque de fuerza bruta a la forma de recuperar una clave probando todas las combinaciones posibles hasta encontrar aquella que permite el acceso.

Dicho de otro modo, define al procedimiento por el cual a partir del conocimiento del algoritmo de cifrado empleado y de un par texto claro/texto cifrado, se realiza el cifrado (respectivamente, descifrado) de uno de los miembros del par con cada una de las posibles combinaciones de clave, hasta obtener el otro miembro del par. El esfuerzo requerido para que la búsqueda sea exitosa con probabilidad mejor que la par será 2n−1 operaciones, donde n es la longitud de la clave (también conocido como el espacio de claves).

Otro factor determinante en el coste de realizar un ataque de fuerza bruta es el juego de caracteres que se pueden utilizar en la clave. Contraseñas que sólo utilicen dígitos numéricos serán más fáciles de descifrar que aquellas que incluyen otros caracteres como letras, así como las que están compuestas por menos caracteres serán también más fáciles de descifrar, la complejidad impuesta por la cantidad de caracteres en una contraseña es logarítmica.

Los ataques por fuerza bruta, dado que utilizan el método de prueba y error, son muy costosos en tiempo computacional.

La fuerza bruta suele combinarse con un ataque de diccionario.

11

8. ATAQUE DE REPLAY

Un ataque de replay, también llamado ataque de playback, en español ataque de reproducción o ataque de reinyección, es una forma de ataque de red, en el cual una transmisión de datos válida es maliciosa o fraudulentamente repetida. Es llevada a cabo por el autor o por un adversario que intercepta la información y la retransmite, posiblemente como parte de un ataque enmascarado.

Suplantación de identidad

Es habitual hacer un ataque de replay capturando información y posteriormente reenviándola con el objetivo de suplantar la identidad de uno de los lados. Es un hecho muy conocido que el intercambio de claves DiffieHellman en sus primeras versiones podía ser atacado por un ataque de reinyección, sin embargo, esto puede evitarse con una marca secuencial o una marca de tiempo. Actualmente, ninguna aplicación que use el esquema de intercambio de claves Diffie-Hellman de manera adecuada se ve afectada por este ataque en su forma básica (aunque cabría falsificar dicha marca o duplicarla en el ataque replay).

Denegación de servicio

Es habitual en sistemas de encaminamiento, por ejemplo en encaminamiento de cebolla, realizar ataques de replay capturando mensajes y luego reinyectándolos en la red con el objetivo de sobrecargarla y que deje de funcionar (ataque de denegación de servicio). Para evitar este tipo de ataques es habitual que los routers detecten cuando un paquete ya ha sido procesado (y por tanto descarten ese paquete) y que los propios mensajes tengan un tiempo de validez que una vez agotado permita que los routers eliminen esos mensajes.

9. ATAQUE MAN-IN-THE-MIDDLE

En criptografía, un ataque man-in-the-middle o JANUS (MitM o intermediario, en español) es un ataque en el que se adquiere la capacidad de leer, insertar y modificar a voluntad, los mensajes entre dos partes sin que ninguna de ellas conozca que el enlace entre ellos ha sido violado. El atacante debe ser capaz de observar e interceptar mensajes entre las dos víctimas. El ataque MitM es particularmente significativo en el protocolo original de intercambio de claves de Diffie-Hellman, cuando éste se emplea sin autenticación

Salvo el Interlock Protocol, todos los sistemas criptográficos seguros frente a ataques MitM requieren un intercambio adicional de datos o la transmisión de cierta información a través de algún tipo de canal seguro. En ese sentido, se han desarrollado muchos métodos de negociación de claves con diferentes exigencias de seguridad respecto al canal seguro.

El ataque MitM puede incluir algunos de los siguientes subataques:

Intercepción de la comunicación (eavesdropping), incluyendo análisis del tráfico y posiblemente un ataque a partir de textos planos (plaintext) conocidos.

12

Ataques a partir de textos cifrados escogidos, en función de lo que el receptor haga con el mensaje descifrado.

Ataques de sustitución.

Ataques de repetición.

Ataque por denegación de servicio (denial of service). El atacante podría, por ejemplo, bloquear las comunicaciones antes de atacar una de las partes. La defensa en ese caso pasa por el envío periódico de mensajes de status autenticados.

MitM se emplea típicamente para referirse a manipulaciones activas de los mensajes, más que para denotar intercepción pasiva de la comunicación.

Un ejemplo de criptografía de clave pública

Supóngase que Andrés desea comunicarse con Bárbara, y Juan quiere interceptar esa conversación, o quizá hacer llegar un mensaje falso a Bárbara. Para iniciar la comunicación, Andrés debe solicitar a Bárbara su clave pública. Si Bárbara envía su clave a Andrés, pero Juan es capaz de interceptarla, éste podría desplegar un ataque MitM. Juan podría enviar a Andrés su propia clave pública (de Juan, en lugar de la de Bárbara). Andrés, creyendo que la clave pública recibida es de Bárbara, cifraría su mensaje con la clave de Juan y enviaría el criptograma a Bárbara. Juan interceptaría de nuevo, descifraría el mensaje con su clave privada, guardaría una copia; volvería a cifrar el mensaje con la clave de Bárbara (tras una alteración, si así lo deseara) y lo re-enviaría a Bárbara. Cuando ésta lo recibiera, creería que proviene de Andrés.

Este ejemplo ilustra la necesidad de Andrés y Bárbara de contar con alguna garantía de que están usando efectivamente las claves públicas correctas. En otro caso, sus comunicaciones se verían expuestas a ataques de este tipo usando la tecnología de clave pública. Afortunadamente, existe una variedad de técnicas que ayudan a defenderse de los ataques MitM.

Defensas contra el ataque

La posibilidad de un ataque de intermediario sigue siendo un problema potencial de seguridad serio, incluso para muchos criptosistemas basados en clave pública. Existen varios tipos de defensa contra estos ataques MitM que emplean técnicas de autenticación basadas en:

Claves públicas

Autenticación mutua fuerte

Claves secretas (secretos con alta entropía)

13

Passwords (secretos con baja entropía)

Otros criterios, como el reconocimiento de voz u otras características biométricas

La integridad de las claves públicas debe asegurarse de alguna manera, pero éstas no exigen ser secretas, mientras que los passwords y las claves de secreto compartido tienen el requerimiento adicional de la confidencialidad. Las claves públicas pueden ser verificadas por una autoridad de certificación (CA), cuya clave pública sea distribuida a través de un canal seguro (por ejemplo, integrada en el navegador web o en la instalación del sistema operativo).

10. AGUJERO DE SEGURIDAD

Un agujero de seguridad es una vulnerabilidad de un sistema de información que permite mediante su explotación violar la seguridad del sistema.

Tipos de vulnerabilidades según la naturaleza del mismo:

De software.

Inyección SQL

Desbordamiento de buffer

Clickjacking

Condiciones de Carrera

Cross Site Request Forgery

Cross-site scripting

De hardware

Del entorno físico del sistema

Del personal involucrado

De procedimientos de administración, organización y seguridad involucrados

De la red de comunicaciones utilizada

En el tiempo de vida de una vulnerabilidad podemos distinguir los siguientes hitos o etapas importantes:

14

Nacimiento.- Durante el proceso de desarrollo del producto por parte del proveedor (Ej el vendedor o una comunidad de desarrolladores software), se introducen una serie de defectos. Estos defectos pueden ser de diseño, implementación o de gestión. Algunos de esos defectos pueden convertirse en riesgos para la seguridad del producto y por tanto para la seguridad del usuario del producto. Un defecto se convierte en una vulnerabilidad si hace que el comportamiento del sistema sea tal que pueda ser aprovechado para conseguir acceso no autorizado, elevación de privilegios, denegación de servicio o cualquier otra forma de romper la seguridad del sistema. No se considerar vulnerabilidades que son detectadas y corregidas antes del despliegue.

Descubrimiento.- Este hito ocurre cuando se tiene conocimiento de la existencia de la vulnerabilidad. Si la vulnerabilidad es creada intencionadamente entonces el nacimiento y el descubrimiento ocurren simultáneamente. Se llama descubridor a la primera persona que revela un defecto y determina que ese defecto es una vulnerabilidad. Si el descubridor no es conocido se dice que es anónimo.

Comunicación de la vulnerabilidad.- Este hito ocurre una vez que el descubridor revela la vulnerabilidad a alguien más. Esta transferencia de información puede ser de distintos tipos. Ejemplos: completa y pública vía (revelación completa) o comunicación privada entre hackers. Se llama originador (en inglés originator) o revelador (en inglés discloser) a la persona u organización que informa de la vulnerabilidad a el proveedor del producto. Observar que el descubridor y el originador pueden ser personas distintas.

Corrección.- Ocurre cuando el vendedor del producto analiza la vulnerabilidad, localiza cual es el problema, y lanza una versión al público que resuelve la vulnerabilidad.

Publicitación.- Es cuando el conocimiento de la vulnerabilidad se extiende a una audiencia importante dándole publicidad.

Automatización de explotación.- Es cuando a partir de la vulnerabilidad se crea una herramienta o script que automatiza la explotación de la vulnerabilidad. A esta herramienta o script se le llama exploit. De esta forma se permite que no sólo expertos sobre el tema (hackers) puedan vulnerar la seguridad. De esta forma se tiene una herramienta que permite a otros usuarios inexpertos (script kiddies) vulnerarla.

Muerte.- Ocurre cuando el número de sistemas vulnerables al exploit es insignificante. Esto puede haber sucedido porque el sistema ha sido retirado, el sistema ha sido arreglado mediante algún parche, o porque los hackers no tienen interés en explotarla.

Casos famosos

En junio de 2005, un servidor de mantenimiento de tarjetas de crédito, fue crackeado por un grupo de personas, aprovechando un error en el código de verificación. Esto generó pérdidas por 10.000.000 de dólares estadounidenses.

15

El FBI, sufrió un ataque de un usuario que usó cuentas de correo, obtuvo contraseñas y otros datos de relevancia, a través de un puerto que estaba abierto en el código web.

En Windows 98, ciertas contraseñas de usuario se exponen en las carpetas, que pueden ser leídas en MS-DOS

11. EXPLOIT

Exploit (del inglés to exploit, “explotar” o ‘aprovechar’) es un fragmento de software, fragmento de datos o secuencia de comandos y/o acciones, utilizada con el fin de aprovechar una vulnerabilidad de seguridad de un sistema de información para conseguir un comportamiento no deseado del mismo. Ejemplos de comportamiento erróneo: Acceso de forma no autorizada, toma de control de un sistema de cómputo, consecución privilegios no concedidos lícitamente, consecución de ataques de denegación de servicio. Hay que observar que el término no se circunscribe a piezas de software, por ejemplo cuando lanzamos un ataque de ingeniería social, el ardid o discurso que preparamos para convencer a la víctima también se considera un exploit. Y poder así capturar cierta información de la víctima a través de este tipo de ataque.

Los exploits pueden tomar forma en distintos tipos de software, como por ejemplo scripts, virus informáticos o gusanos informáticos.

11.1. Clasificación

Según la forma en la que el exploit contacta con el software vulnerable:

Exploit remoto.

Si utiliza una red de comunicaciones para entrar en contacto con el sistema víctima. Por ejemplo puede usar otro equipo dentro de la misma red interna o tener acceso desde la propia Internet.

Exploit local.

Si para ejecutar el exploit se necesita tener antes acceso al sistema vulnerable. Por ejemplo el exploit puede aumentar los privilegios del que lo ejecuta. Este tipo de exploits también puede ser utilizado por un atacante remoto que ya tiene acceso a la máquina local mediante un exploit remoto.

Exploit ClientSide.

Aprovechan vulnerabilidades de aplicaciones que típicamente están instaladas en gran parte de las estaciones de trabajo de las organizaciones. Ejemplos típicos de este tipo de software son aplicaciones ofimáticas (Ej. Microsoft Office, Open Office), lectores de PDF (Ej. Adobe Acrobat Reader), navegadores (Ej. Internet Explorer, Firefox, Chrome, Safari), reproductores multimedia (Ej. Windows Media Player, Winamp, iTunes). El

16

exploit está dentro de ficheros interpretados por este tipo de aplicaciones y que llega a la máquina objetivo por distintos medios (Ej email o pendrive). El archivo será usado por el programa y si no es detenido por ningún otro programa (Ej. firewall o antivirus) aprovechará la vulnerabilidad de seguridad. Las peculiaridades de este tipo de ataques son:

Requieren la intervención del usuario del lado del cliente. Por ejemplo necesitan que abra cierto archivo o que haga click en cierto link

Es un ataque asincrónico porque el momento en que se lanza no es el mismo en que se consigue ejecutar el exploit (ya que necesita la acción del usuario).

Se lanza a ciegas, no se sabe qué aplicaciones y versiones de esta utiliza el objetivo real.

Según el propósito de su ataque:

Curiosidad

Fama personal

Beneficio personal

Espionaje

11.2. Frameworks de exploits

Los frameworks de exploits son paquetes software de apoyo que contienen módulos que ayudan para la construcción de exploits. Estos frameworks permiten la reutilización del código, la estandarización de los exploits y la simplificación del proceso de ataques. Ejemplos de este tipo de frameworks: Metasploit Framework, Core Impact, Inmunity Canvas

11.3. “Exploits” en los videojuegos

Hasta ahora el juego en Internet más afectado por estos comandos maliciosos es Roblox, el cual es afectado en los servidores publicados en la red. Un cracker con ayuda de un programa especial edita los códigos del servidor activo, causando desde la aparición de nuevos elementos en el juego, hasta la desconexión de todos los jugadores y robo de su información actual en el sitio.

12. SPOOFING

Spoofing, en términos de seguridad de redes hace referencia al uso de técnicas a través de las cuales un atacante, generalmente con usos maliciosos o de investigación, se hace pasar por una entidad distinta a través de la falsificación de los datos en una comunicación.

17

Se pueden clasificar los ataques de spoofing, en función de la tecnología utilizada. Entre ellos tenemos el IP spoofing (quizás el más conocido), ARP spoofing, DNS spoofing, Web spoofing o email spoofing, aunque en general se puede englobar dentro de spoofing cualquier tecnología de red susceptible de sufrir suplantaciones de identidad.

IP Spoofing

Suplantación de IP. Consiste básicamente en sustituir la dirección IP origen de un paquete TCP/IP por otra dirección IP a la cual se desea suplantar. Esto se consigue generalmente gracias a programas destinados a ello y puede ser usado para cualquier protocolo dentro de TCP/IP como ICMP, UDP o TCP. Hay que tener en cuenta que las respuestas del host que reciba los paquetes alterados irán dirigidas a la IP falsificada. Por ejemplo si enviamos un ping (paquete icmp "echo request") suplantado, la respuesta será recibida por el host al que pertenece la IP legalmente. Este tipo de spoofing unido al uso de peticiones broadcast a diferentes redes es usado en un tipo de ataque de flood conocido como ataque Smurf. Para poder realizar Suplantación de IP en sesiones TCP, se debe tener en cuenta el comportamiento de dicho protocolo con el envío de paquetes SYN y ACK con su SYN específico y teniendo en cuenta que el propietario real de la IP podría (si no se le impide de alguna manera) cortar la conexión en cualquier momento al recibir paquetes sin haberlos solicitado. También hay que tener en cuenta que los enrutadores actuales no admiten el envío de paquetes con IP origen no perteneciente a una de las redes que administra (los paquetes suplantados no sobrepasarán el enrutador).

ARP Spoofing

Suplantación de identidad por falsificación de tabla ARP. Se trata de la construcción de tramas de solicitud y respuesta ARP modificadas con el objetivo de falsear la tabla ARP (relación IP-MAC) de una víctima y forzarla a que envíe los paquetes a un host atacante en lugar de hacerlo a su destino legítimo.

El protocolo Ethernet trabaja mediante direcciones MAC, no mediante direcciones IP. ARP es el protocolo encargado de traducir direcciones IP a direcciones MAC para que la comunicación pueda establecerse; para ello cuando un host quiere comunicarse con una IP emite una trama ARP-Request a la dirección de Broadcast pidiendo la MAC del host poseedor de la IP con la que desea comunicarse. El ordenador con la IP solicitada responde con un ARP-Reply indicando su MAC. Los enrutadores y los hosts guardan una tabla local con la relación IP-MAC llamada tabla ARP. Dicha tabla ARP puede ser falseada por un ordenador atacante que emita tramas ARP-REPLY indicando su MAC como destino válido para una IP específica, como por ejemplo la de un enrutador, de esta manera la información dirigida al enrutador pasaría por el ordenador atacante quien podrá escanear dicha información y redirigirla si así lo desea. El protocolo ARP trabaja a nivel de enlace de datos de OSI, por lo que esta técnica sólo puede ser utilizada en redes LAN o en cualquier caso en la parte de la red que queda antes del primer enrutador. Una manera de protegerse de esta técnica es mediante tablas ARP estáticas (siempre que las IP de red sean fijas), lo cual puede ser difícil en redes grandes.

18

Otras formas de protegerse incluyen el usar programas de detección de cambios de las tablas ARP (como Arpwatch) y el usar la seguridad de puerto de los switches para evitar cambios en las direcciones MAC.

DNS Spoofing

Suplantación de identidad por nombre dedominio. Se trata del falseamiento de una relación “Nombre de dominioIP” ante una consulta de resolución de nombre, es decir, resolver con una dirección IP falsa un cierto nombre DNS o viceversa. Esto se consigue falseando las entradas de la relación Nombre de dominio-IP de un servidor DNS, mediante alguna vulnerabilidad del servidor en concreto o por su confianza hacia servidores poco fiables. Las entradas falseadas de un servidor DNS son susceptibles de infectar (envenenar) el cache DNS de otro servidor diferente (DNS Poisoning).

Web Spoofing

Suplantación de una página web real (no confundir con phishing). Enruta la conexión de una víctima a través de una página falsa hacia otras páginas WEB con el objetivo de obtener información de dicha víctima (páginas web vistas, información de formularios, contraseñas etc.). La página web falsa actúa a modo de proxy, solicitando la información requerida por la víctima a cada servidor original y saltándose incluso la protección SSL. El atacante puede modificar cualquier información desde y hacia cualquier servidor que la víctima visite. La víctima puede abrir la página web falsa mediante cualquier tipo de engaño, incluso abriendo un simple enlace. El web spoofing es difícilmente detectable; quizá la mejor medida es algún plugin del navegador que muestre en todo momento la IP del servidor visitado: si la IP nunca cambia al visitar diferentes páginas WEB significará que probablemente estemos sufriendo este tipo de ataque. Este ataque se realiza mediante una implantación de código el cual nos robará la información. Usualmente se realizan páginas fantasmas en las cuales se inyectan estos códigos para poder sacar información de las víctimas.

Mail Spoofing

Suplantación en correo electrónico de la dirección de correo electrónico de otras personas o entidades. Esta técnica es usada con asiduidad para el envío de mensajes de correo electrónico hoax como suplemento perfecto para el uso de suplantación de identidad y para SPAM, es tan sencilla como el uso de un servidor SMTP configurado para tal fin. Para protegerse se debería comprobar la IP del remitente (para averiguar si realmente esa ip pertenece a la entidad que indica en el mensaje) y la dirección del servidor SMTP utilizado. Las medidas recomendadas para prevenir estos ataques son crear registros SPF y firmas digitales DKIM.

GPS Spoofing

Un ataque de GPS spoofing intenta engañar a un receptor de GPS transmitiendo una señal ligeramente más poderosa que la recibida desde los satélites del sistema GPS, estructurada para parecerse a un conjunto normal de señales GPS. Sin embargo estas

19

señales están modificadas de tal forma de que causarán que el receptor determine una posición diferente a la real, específicamente algún lugar determinado por la señal atacante. Debido a que el sistema GPS trabaja midiendo el tiempo que le toma a una señal el viajar entre el satélite y el receptor, un spooging exitoso requiere que el atacante conozca con precisión donde se encuentra el blanco de tal forma que la señal falsa pueda ser estructurada con el retraso apropiado.

Un ataque de GPS spoofing comienza con la transmisión de una señal ligeramente más poderosa que la que entrega la posición correcta, y luego se comienza a desviar lentamente hacia la posición deseada por el atacante, ya que si esto se hace demasiado rápido el receptor atacado perderá la fijación en la señal, en cuyo momento el ataque de spoofing sólo funcionaría como un ataque de perturbación. Se ha sugerido que la captura de un Lockheed RQ-170 en el noreste de Irán en diciembre de 2011, fue el resultado de un ataque de este tipo. Previamente los ataques de GPS spoofing habían sido predichos y discutidos en la comunidad GPS, pero aún no han sido confirmado un ejemplo conocido de un ataque de spoofing malicioso.

13. SEGURIDAD POR OSCURIDAD

En criptografía y seguridad informática, la seguridad por oscuridad o por ocultación es un controvertido principio de ingeniería de la seguridad, que intenta utilizar el secreto (de diseño, de implementación, etc.) para garantizar la seguridad. Este principio se puede plasmar en distintos aspectos como por ejemplo:

Mantener el secreto del código fuente del software.

Mantener el secreto de algoritmos y protocolos utilizados.

Adopción de políticas de no revelación pública de la información sobre vulnerabilidades.

Un sistema que se apoya en la seguridad por ocultación puede tener vulnerabilidades teóricas o prácticas, pero sus propietarios o diseñadores creen que sus puntos débiles, debido al secreto que se mantiene sobre los entresijos del sistema, son muy difíciles de encontrar, y por tanto los atacantes tienen muy pocas probabilidades de descubrirlos.

Introducción

Por ejemplo, podría pensarse que esconder una copia de la llave de la casa bajo el felpudo de la entrada sería una buena medida contra la posibilidad de quedar uno atrapado fuera de la casa, por culpa de un olvido o pérdida de la llave de uso habitual. Entonces estaríamos fiándonos de la seguridad por ocultación. La vulnerabilidad de seguridad teórica sería que alguien pudiera entrar en la casa abriendo la puerta con la copia de la llave. Sin embargo, los dueños de la casa creen que la localización de la llave no es conocida públicamente, y que es improbable que un ladrón la encontrara. En este ejemplo, dado que

20

los ladrones suelen conocer los escondites frecuentes, habría que advertir al dueño de la casa contra esta medida.

En criptografía, lo contrario a la seguridad por ocultación es el principio de Kerckhoff de finales de 1880, que indica que los diseñadores del sistema deberían asumir que el diseño completo de un sistema de seguridad es conocido por todos los atacantes, con la excepción de la clave criptográfica: “la seguridad de un cifrado reside enteramente en la clave”. Claude Shannon lo reformuló como “el enemigo conoce el sistema”.

Históricamente, la seguridad por ocultación ha sido un apoyo débil sobre el que descansar en materia de criptografía. Código oscuro, cifrados y sistemas criptográficos han cedido repetidamente bajo los ataques sin importar el grado de ocultación de sus vulnerabilidades.

El movimiento de la divulgación total va más lejos, sugiriendo que los defectos de seguridad deberían ser divulgados lo antes posible, retrasando la información no más de lo necesario para lanzar una corrección de la amenaza inmediata.

Argumentos contra la seguridad por oscuridad

Muchos argumentan que la seguridad por oscuridad es débil. Si la seguridad de un sistema depende única o principalmente de mantener oculta una debilidad, entonces, claramente, si esa debilidad es descubierta, la seguridad se compromete fácilmente. Se argumenta que mantener ocultos los detalles de sistemas y algoritmos ampliamente utilizados es difícil. En criptografía, por ejemplo, hay un buen número de ejemplos de algoritmos de cifrado que han pasado a ser de conocimiento público, bien por ingeniería inversa (ej. A5/1), bien por una fuga de información (ej. RC4).

Más aún, el mantener algoritmos y protocolos ocultos significa que la revisión de seguridad está limitada a unos pocos. Se argumenta que permitir a cualquier persona revisar la seguridad repercutirá en una pronta identificación y corrección de cualquier fallo o debilidad, hecho que se recoge en la llamada Ley de Linus.

En la práctica

Los operadores, desarrolladores y vendedores de sistemas que confían en la seguridad por oscuridad a menudo mantienen en secreto que sus sistemas tienen fallos, para evitar crear desconfianza en sus servicios o productos y por tanto, en su imagen de mercado. Es posible que esto pudiera conducir en algunos casos a una representación fraudulenta de la seguridad de sus productos, aunque la aplicación de la ley a este respecto ha sido poco contundente, en parte porque las condiciones de uso impuestas por los vendedores como parte del contrato de licencia redimen (con más o menos éxito) sus aparentes obligaciones bajo el estatuto legal de muchas jurisdicciones que requieren una adecuación para el uso o estándares de calidad similares.

21

Estas prácticas de seguridad dejan a los usuarios frente a problemas cuando el software que usan está deliberada o accidentalmente ocultado, como ha ocurrido otras veces:

Diebold — software de voto electrónico; publicación aparentemente accidental en un sitio web oficial.

Microsoft — Windows y otros; penetración supuestamente deliberada en una red de desarrollo corporativa.

RSADSI — algoritmos criptográficos; código de RC4 probablemente publicado con intención en Usenet.

Cisco — sistema operativo de enrutadores; exposición accidental en una red corporativa.

Cuando se usa software seguro por estar oculto de manera amplia, existe un riesgo potencial de problema global; por ejemplo, vulnerabilidades en las diferentes versiones del sistema operativo Windows, sus componentes obligatorios como su navegador web Internet Explorer o sus aplicaciones de correo electrónico (Microsoft Outlook/Outlook Express) han causado problemas a lo largo y ancho del planeta cuando virus, troyanos, gusanos y demás se han aprovechado de ellas. Véase seguridad en Windows o seguridad en Internet Explorer.

Del software que es deliberadamente lanzado como software de código abierto no puede decirse ni en la teoría ni en la práctica que se apoya en la seguridad por oscuridad, ya que el diseño está disponible públicamente, pero puede también experimentar vulnerabilidades de seguridad.

14. SISTEMA DE PREVENCIÓN DE INTRUSOS

Un sistema de prevención de intrusos (o por sus siglas en inglés IPS) es un software que ejerce el control de acceso en una red informática para proteger a los sistemas computacionales de ataques y abusos. La tecnología de prevención de intrusos es considerada por algunos como una extensión de los sistemas de detección de intrusos (IDS), pero en realidad es otro tipo de control de acceso, más cercano a las tecnologías cortafuegos.

Los IPS fueron inventados de forma independiente por Jed Haile y Vern Paxon para resolver ambigüedades en la monitorización pasiva de redes de computadoras, al situar sistemas de detecciones en la vía del tráfico. Los IPS presentan una mejora importante sobre las tecnologías de cortafuegos tradicionales, al tomar decisiones de control de acceso basados en los contenidos del tráfico, en lugar de direcciones IP o puertos. Tiempo después, algunos IPS fueron comercializados por la empresa One Secure, la cual fue finalmente adquirida por NetScreen Technologies, que a su vez fue adquirida por Juniper Networks en 2004. Dado que los IPS fueron extensiones literales de los sistemas IDS, continúan en relación.

22

También es importante destacar que los IPS pueden actuar al nivel de equipo, para combatir actividades potencialmente maliciosas.

Funcionamiento

Un Sistema de Prevención de Intrusos o Intrusion Prevention System (“IPS” en sus siglas en inglés), es un dispositivo de seguridad de red que monitorea el tráfico de red y/o las actividades de un sistema, en busca de actividad maliciosa. Entre sus principales funciones, se encuentran no sólo la de identificar la actividad maliciosa, sino la de intentar detener esta actividad. Siendo ésta última una característica que distingue a este tipo de dispositivos de los llamados Sistemas de Detección de Intrusos o Intrusion Detection Systems (“IDS” en sus siglas en inglés).

Entre otras funciones (como en el caso del IDS) se tiene que puede alertar al administrador ante la detección de intrusiones o actividad maliciosa, mientras que es exclusivo de un Sistema de Prevención de Intrusos (IPS) establecer políticas de seguridad para proteger al equipo o a la red de un ataque.

De ahí que se diga que un IPS protege a una red o equipo de manera proactiva mientras que un IDS lo hace de manera reactiva.

Otras funciones importantes de estos dispositivos de red, son las de grabar información histórica de esta actividad y generar reportes.

Los IPS se clasifican en cuatro diferentes tipos:

1. Basados en Red Lan (NIPS): monitorean la red lan en busca de tráfico de red sospechoso al analizar la actividad por protocolo de comunicación lan.

2. Basados en Red Wireless (WIPS): monitorean la red ialámbrica en busca de tráfico sospechoso al analizar la actividad por protocolo de comunicación inalámbrico.

3. Análisis de comportamiento de red (NBA): Examina el tráfico de red para identifica amenazas que generan tráfico inusual, como ataques de denegación de servicio ciertas formas de malware y violaciones a políticas de red.

4. Basados en Host (HIPS): Se efectúa mediante la instalación de paquetes de software que monitoran un host único en busca de actividad sospechosa

Los IPS categorizan la forma en que detectan el tráfico malicioso:

Detección basada en firmas

Una firma tiene la capacidad de reconocer una determinada cadena de bytes en cierto contexto, y entonces lanza una alerta. Por ejemplo, los ataques contra los servidores Web generalmente toman la forma de URLs. Por lo tanto se puede buscar utilizando un

23

cierto patrón de cadenas que pueda identificar ataques al servidor web. Sin embargo, como este tipo de detección funciona parecido a un antivirus, el administrador debe verificar que las firmas estén constantemente actualizadas.

Detección basada en políticas

En este tipo de detección, el IPS requiere que se declaren muy específicamente las políticas de seguridad. Por ejemplo, determinar que hosts pueden tener comunicación con determinadas redes. El IPS reconoce el tráfico fuera del perfil permitido y lo descarta.

Detección basada en anomalías

Este tipo de detección tiende a generar muchos falsos positivos, ya que es sumamente difícil determinar y medir una condición ‘normal’. En este tipo de detección tenemos dos opciones:

1. Detección estadística de anormalidades: El IPS analiza el tráfico de red por un determinado periodo de tiempo y crea una línea base de comparación. Cuando el tráfico varía demasiado con respecto a la línea base de comportamiento, se genera una alarma.

2. Detección no estadística de anormalidades: En este tipo de detección, es el administrador quien define el patrón «normal» de tráfico. Sin embargo, debido a que con este enfoque no se realiza un análisis dinámico y real del uso de la red, es susceptible a generar muchos falsos positivos.

Detección honey pot (jarra de miel)

Aquí se utiliza un distractor. Se asigna como honey pot un dispositivo que pueda lucir como atractivo para los atacantes. Los atacantes utilizan sus recursos para tratar de ganar acceso en el sistema y dejan intactos los verdaderos sistemas. Mediante esto, se puede monitorizar los métodos utilizados por el atacante e incluso identificarlo, y de esa forma implementar políticas de seguridad acordes en nuestros sistemas de uso real.

15. SISTEMA DE DETECCIÓN DE INTRUSOS

Un sistema de detección de intrusiones (o IDS de sus siglas en inglés Intrusion Detection System) es un programa de detección de accesos no autorizados a un computador o a una red.

El IDS suele tener sensores virtuales (por ejemplo, un sniffer de red) con los que el núcleo del IDS puede obtener datos externos (generalmente sobre el tráfico de red). El IDS no detecta, gracias a dichos sensores, las anomalías que pueden ser indicio de la presencia de ataques y falsas alarmas.

24

15.1. Funcionamiento

El funcionamiento de estas herramientas se basa en el análisis pormenorizado del tráfico de red, el cual al no entrar al analizador es comparado con firmas de ataques conocidos, o comportamientos sospechosos, como no puede ser el escaneo de puertos, paquetes malformados, etc. El IDS no sólo analiza qué tipo de tráfico es, sino que también revisa el contenido y su comportamiento.

Normalmente esta herramienta se integra con un firewall. El detector de intrusos es incapaz de detener los ataques por sí solo, excepto los que trabajan conjuntamente en un dispositivo de puerta de enlace con funcionalidad de firewall, convirtiéndose en una herramienta muy poderosa ya que se une la inteligencia del IDS y el poder de bloqueo del firewall, al ser el punto donde forzosamente deben pasar los paquetes y pueden ser bloqueados antes de penetrar en la red.

Los IDS suelen disponer de una base de datos de “firmas” de ataques conocidos.

Dichas firmas permiten al IDS distinguir entre el uso normal del PC y el uso fraudulento, y/o entre el tráfico normal de la red y el tráfico que puede ser resultado de un ataque o intento del mismo.

15.2. Tipos de IDS

Existen dos tipos de sistemas de detección de intrusos:

HIDS (HostIDS):

El principio de funcionamiento de un HIDS, depende del éxito de los intrusos, que generalmente dejaran rastros de sus actividades en el equipo atacado, cuando intentan adueñarse del mismo, con propósito de llevar a cabo otras actividades.

El HIDS intenta detectar tales modificaciones en el equipo afectado, y hacer un reporte de sus conclusiones.

NIDS (NetworkIDS):

Un IDS basado en red, detectando ataques a todo el segmento de la red. Su interfaz debe funcionar en modo promiscuo capturando así todo el tráfico de la red.

15.3. Sistemas pasivos y sistemas reactivos

En un sistema pasivo, el sensor detecta una posible intrusión, almacena la información y manda una señal de alerta que se almacena en una base de datos. En un sistema reactivo, el IDS responde a la actividad sospechosa reprogramando el cortafuegos para que bloquee tráfico que proviene de la red del atacante. Un sistema que reacciona ante

25

el ataque previniendo que este continúe, se denomina IPS por sus siglas en inglés de “intrusion prevention system”.

15.4. Comparación con Cortafuegos

Si bien ambos están relacionados con seguridad en redes de información, un IDS, difiere de un cortafuegos, en que este último generalmente examina exteriormente por intrusiones para evitar que estas ocurran. Un cortafuegos limita el acceso entre redes, para prevenir una intrusión, pero no determina un ataque que pueda estar ocurriendo internamente en la red. Un IDS, evalúa una intrusión cuando esta toma lugar, y genera una alarma. Un IDS además observa ataques que se originan dentro del sistema. Este normalmente se consigue examinando comunicaciones, e identificando mediante heurística, o patrones (conocidos como firmas), ataques comunes ya clasificados, y toma una acción para alertar a un operador.

15.5. Mecanismos de detección de un ataque

Un IDS usa alguna de las dos siguientes técnicas para determinar que un ataque se encuentra en curso:

Patrón

Un IDS basado en patrones, analiza paquetes en la red, y los compara con patrones de ataques conocidos, y preconfigurados. Estos patrones se denominan firmas. Debido a esta técnica, existe un periodo de tiempo entre el descubrimiento del ataque y su patrón, hasta que este es finalmente configurado en un IDS. Durante este tiempo, el IDS será incapaz de identificar el ataque.

Heurística Un IDS basado en heurística, determina actividad normal de red, como el orden de ancho de banda usado, protocolos, puertos y dispositivos que generalmente se interconectan, y alerta a un administrador o usuario cuando este varía de aquel considerado como normal, clasificándolo como anómalo.

Implementación

Para poner en funcionamiento, un sistema de detección de intrusos se debe tener en cuenta que es posible optar por una solución hardware, software o incluso una combinación de estos dos. La posibilidad de introducir un elemento hardware es debido al alto requerimiento de procesador en redes con mucho tráfico. A su vez los registros de firmas y las bases de datos con los posibles ataques necesitan gran cantidad de memoria, aspecto a tener en cuenta.

En redes es necesario considerar el lugar de colocación del IDS. Si la red está segmentada con hub (capa 1 del modelo OSI) no hay problema en analizar todo el tráfico de la red realizando una conexión a cualquier puerto. En cambio, si se utiliza un switch

26

(capa 2 del modelo OSI) , es necesario conectar el IDS a un puerto SPAN ( Switch Port Analiser) para poder analizar todo el tráfico de esta red.

16. ISO/IEC 27001

ISO/IEC27001 es un estándar para la seguridad de la información (Information technology - Security techniques Information security management systems - Requirements) aprobado y publicado como estándar internacional en octubre de 2005 por International Organization for Standardization y por la comisión International Electrotechnical Commission.

Especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un sistema de gestión de la seguridad de la información (SGSI) según el conocido como “Ciclo de Deming”: PDCA - acrónimo de Plan, Do,

Check, Act (Planificar, Hacer, Verificar, Actuar). Es consistente con las mejores prácticas descritas en ISO/IEC 27002, anteriormente conocida como ISO/IEC 17799 , con orígenes en la norma BS 7799-2:2002, desarrollada por la entidad de normalización británica, la British Standards Institution (BSI).

Evolución

España: En el año 2004 se publicó la UNE 71502 titulada Especificaciones para los Sistemas de Gestión de la Seguridad de la Información (SGSI) y que fue elaborada por el comité técnico AEN/CTN 71. Es una adaptación nacional de la norma británica British Standard BS 7799-2:2002.

Con la publicación de UNE-ISO/IEC 27001 (traducción al español del original inglés) dejó de estar vigente la UNE 71502 y las empresas nacionales certificadas en esta última están pasando progresivamente sus certificaciones a UNE-ISO/IEC 27001.

ISO 27001:2013

Existen varios cambios con respecto a la versión 2005 en esta versión 2013. Entre ellos destacan:

Desaparece la sección “enfoque a procesos” dando mayor flexibilidad para la elección de metodologías de trabajo para el análisis de riesgos y mejoras.

Cambia su estructura conforme al anexo SL común al resto de estándares de la ISO.

Pasa de 102 requisitos a 130.

27

Considerables cambios en los controles establecidos en el Anexo A, incrementando el número de dominios a 14 y disminuyendo el número de controles a 114.

Inclusión de un nuevo dominio sobre “Relaciones con el Proveedor” por las crecientes relaciones entre empresa y proveedor en la nube.

Se parte del análisis de riesgos para determinar los controles necesarios y compararlos con el Anexo A, en lugar de identificar primero los activos, las amenazas y sus vulnerabilidades.

3 Beneficios que aporta este a los objetivos de la organización

Demuestra la garantía independiente de los controles internos y cumple los requisitos de gestión corporativa y de continuidad de la actividad comercial.

Demuestra independientemente que se respetan las leyes y normativas que sean de aplicación.

Proporciona una ventaja competitiva al cumplir los requisitos contractuales y demostrar a los clientes que la seguridad de su información es primordial.

Verifica independientemente que los riesgos de la organización estén correctamente identificados, evaluados y gestionados al tiempo que formaliza unos procesos, procedimientos y documentación de protección de la información.

Demuestra el compromiso de la cúpula directiva de su organización con la seguridad de la información.

El proceso de evaluaciones periódicas ayuda a supervisar continuamente el rendimiento y la mejora.

Nota: las organizaciones que simplemente cumplen la norma ISO/IEC 27001 o las recomendaciones de la norma del código profesional, ISO/IEC 27002 no logran esta ventaja

Implantación

La implantación de ISO/IEC 27001 en una organización es un proyecto que suele tener una duración entre 6 y 12 meses, dependiendo del grado de madurez en seguridad de la información y el alcance, entendiendo por alcance el ámbito de la organización que va a estar sometido al Sistema de Gestión de la Seguridad de la Información elegido. En general, es recomendable la ayuda de consultores externos.

Aquellas organizaciones que hayan adecuado previamente de forma rigurosa sus sistemas de información y sus procesos de trabajo a las exigencias de las normativas legales

28

de protección de datos (p.ej., en España la conocida LOPD y sus normas de desarrollo, siendo el más importante el Real Decreto 1720/2007, de 21 de diciembre de desarrollo de la Ley Orgánica de Protección de Datos) o que hayan realizado un acercamiento progresivo a la seguridad de la información mediante la aplicación de las buenas prácticas de ISO/IEC 27002, partirán de una posición más ventajosa a la hora de implantar ISO/IEC 27001.

El equipo de proyecto de implantación debe estar formado por representantes de todas las áreas de la organización que se vean afectadas por el SGSI, liderado por la dirección y asesorado por consultores externos especializados en seguridad informática generalmente Ingenieros o Ingenieros Técnicos en Informática, derecho de las nuevas tecnologías, protección de datos y sistemas de gestión de seguridad de la información (que hayan realizado un curso de implantador de SGSI).

Certificación

La certificación de un SGSI es un proceso mediante el cual una entidad de certificación externa, independiente y acreditada audita el sistema, determinando su conformidad con ISO/IEC 27001, su grado de implantación real y su eficacia y, en caso positivo, emite el correspondiente certificado.

Antes de la publicación del estándar ISO 27001, las organizaciones interesadas eran certificadas según el estándar británico BS 7799-2.

Desde finales de 2005, las organizaciones ya pueden obtener la certificación ISO/IEC 27001 en su primera certificación con éxito o mediante su recertificación trienal, puesto que la certificación BS 7799-2 ha quedado reemplazada.

El Anexo C de la norma muestra las correspondencias del Sistema de Gestión de la Seguridad de la Información (SGSI) con el Sistema de Gestión de la Calidad según ISO 9001:2000 y con el Sistema de Gestión Medio Ambiental según ISO 14001:2004 (ver ISO 14000), hasta el punto de poder llegar a certificar una organización en varias normas y con base en un sistema de gestión común.

Serie 27000

La seguridad de la información tiene asignada la serie 27000 dentro de los estándares ISO/IEC:

ISO 27000: Publicada en mayo de 2009. Contiene la descripción general y vocabulario a ser empleado en toda la serie 27000. Se puede utilizar para tener un entendimiento más claro de la serie y la relación entre los diferentes documentos que la conforman.

UNE-ISO/IEC 27001:2007 “Sistemas de Gestión de la Seguridad de la Información (SGSI). Requisitos”. Fecha de la de la versión española 29 noviembre de 2007. Es la norma principal de requisitos de un Sistema de Gestión de Seguridad de la Información. Los SGSIs deberán ser certificados por auditores externos a las organizaciones. En su Anexo A,

29

contempla una lista con los objetivos de control y controles que desarrolla la ISO 27002 (anteriormente denominada ISO 17799).

ISO/IEC 27002: (anteriormente denominada ISO 17799). Guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información con 11 dominios, 39 objetivos de control y 133 controles.

ISO/IEC 27003: En fase de desarrollo; probable publicación en 2009. Contendrá una guía de implementación de SGSI e información acerca del uso del modelo PDCA y de los requisitos de sus diferentes fases. Tiene su origen en el anexo B de la norma BS 7799-2 y en la serie de documentos publicados por BSI a lo largo de los años con recomendaciones y guías de implantación.

ISO 27004: Publicada en diciembre de 2009. Especifica las métricas y las técnicas de medida aplicables para determinar la eficiencia y eficacia de la implantación de un SGSI y de los controles relacionados.

ISO 27005: Publicada en junio de 2008. Consiste en una guía para la gestión del riesgo de la seguridad de la información y sirve, por tanto, de apoyo a la ISO 27001 y a la implantación de un SGSI. Incluye partes de la ISO 13335.

ISO 27006: Publicada en febrero de 2007. Especifica los requisitos para acreditación de entidades de auditoría y certificación de sistemas de gestión de seguridad de la información.

ISO/IEC 27001:2005 Information technology — Security techniques — Information security management systems - Requirements

ISO/IEC 27005:2008 Information technology — Security techniques — Information security risk management

ISO/IEC 27006:2007 Information technology — Security techniques — Requirements for bodies providing audit and certification of information security management systems

ISO/IEC 27002:2005 Information technology — Security techniques — Code of practice for information security management (anterior ISO/IEC 17799:2005)

ISO 9001:2000, Quality management systems — Requirements

ISO/IEC 13335-1:2004, Information technology — Security techniques — Management of information and communications technology security — Part 1: Concepts and models for information and communications technology security management

ISO/IEC TR 13335-3:1998, Information technology — Guidelines for the management of IT Security — Part 3: Techniques for the management of IT security

30

ISO/IEC TR 13335-4:2000, Information technology — Guidelines for the management of IT Security — Part 4: Selection of safeguards

ISO 14001:2004, Environmental management systems — Requirements with guidance for use

ISO/IEC TR 18044:2004, Information technology — Security techniques — Information security incident management

ISO 19011:2002, Guidelines for quality and/or environmental management systems auditing

Otros SGSI

SOGP

Otro SGSI que compite en el mercado es el llamado “Information Security Forum’s Standard of Good Practice” (SOGP). Este SGSI es más una “best practice” ( buenas prácticas), basado en las experiencias del ISF.

ISM3

Information Security Management Maturity Model (“ISM3”) (conocida como ISM-cubed o ISM3) está construido en estándares como ITIL, ISO 20000, ISO 9001, CMM, ISO/IEC 27001, e información general de conceptos de seguridad de los gobiernos.

ISM3 puede ser usado como plantilla para un ISO 9001 compliant. Mientras que la ISO/IEC 27001 está basada en controles. ISM3 está basada en proceso e incluye métricas de proceso.

COBIT

En el caso de COBIT, los controles son aún más amplios que en la ISO-IEC 27001. La versión más actual es la COBIT 5.

17. ANTIVIRUS

En informática los antivirus son programas cuyo objetivo es detectar o eliminar virus informáticos. Nacieron durante la década de 1980. Con el transcurso del tiempo, la aparición de sistemas operativos más avanzados e internet, ha hecho que los antivirus hayan evolucionado hacia programas más avanzados que no sólo buscan detectar virus informáticos, sino bloquearlos, desinfectar archivos y prevenir una infección de los mismos. Actualmente son capaces de reconocer otros tipos de malware, como spyware, gusanos, troyanos, rootkits, etc.

31

17.1. Métodos de contagio

Existen dos grandes grupos de propagación: los virus cuya instalación el usuario, en un momento dado, ejecuta o acepta de forma inadvertida; y los gusanos, con los que el programa malicioso actúa replicándose a través de las redes.

En cualquiera de los dos casos, el sistema operativo infectado comienza a sufrir una serie de comportamientos anómalos o no previstos. Dichos comportamientos son los que dan la traza del problema y tienen que permitir la recuperación del mismo.

Dentro de las contaminaciones más frecuentes por interacción del usuario están las siguientes:

• Mensajes que ejecutan automáticamente programas, como el programa de correo que abre directamente un archivo adjunto.

• Ingeniería social, mensajes como «Ejecute este programa y gane un premio».

• Entrada de información en discos de otros usuarios infectados.

• Instalación de software que pueda contener uno o varios programas maliciosos.

• A través de unidades extraíbles de almacenamiento, como memorias USB.

17.2. Seguridad y métodos de protección

Los métodospara contenero reducirlosriesgos asociados a los virus pueden ser los denominados activos o pasivos.

17.3. Tipos de antivirus

• Sólo detección: son vacunas que sólo actualizan archivos infectados, sin embargo, no pueden eliminarlos o desinfectarlos.

• Detecciónydesinfección:sonvacunasquedetectan archivos infectados y que pueden desinfectarlos.

• Detección y aborto de la acción: son vacunas que detectan archivos infectados y detienen las acciones que causa el virus.

• Comparación por firmas: son vacunas que comparan las firmas de archivos sospechosos para saber si están infectados.

• Comparación de firmas de archivo: son vacunas que comparan las firmas de los atributos guardados en tu equipo.

32

• Por métodos heurísticos: son vacunas que usan métodos heurísticos para comparar archivos.

• Invocado por el usuario: son vacunas que se activan instantáneamente con el usuario.

• Invocado por la actividad del sistema: son vacunas que se activan instantáneamente por la actividad del sistema operativo.

17.4. Copias de seguridad (pasivo)

Mantener una política de copias de seguridad garantiza la recuperación de los datos y la respuesta cuando nada de lo anterior ha funcionado.

Asimismo, las empresas deberían disponer de un plan y detalle de todo el software instalado para tener un plan de contingencia en caso de problemas.

Planificación

La planificación consiste en tener preparado un plan de contingencia en caso de que una emergencia de virus se produzca, así como disponer al personal de la formación adecuada para reducir al máximo las acciones que puedan presentar cualquier tipo de riesgo. Cada antivirus puede planear la defensa de una manera, es decir, un antivirus puede hacer un escaneado completo, rápido o de vulnerabilidad según elija el usuario.

Consideraciones de software

El software es otro de los elementos clave en la parte de planificación. Se debería tener en cuenta la siguiente lista de comprobaciones para tu seguridad:

1. Tener el software indispensable para el funcionamiento de la actividad, nunca menos pero tampoco más. Tener controlado al personal en cuanto a la instalación de software es una medida que va implícita. Asimismo, tener controlado el software asegura la calidad de la procedencia del mismo (no debería permitirse software pirata o sin garantías). En todo caso un inventario de software proporciona un método correcto de asegurar la reinstalación en caso de desastre.

2. Disponer del software de seguridad adecuado. Cada actividad, forma de trabajo y métodos de conexión a Internet requieren una medida diferente de aproximación al problema. En general, las soluciones domésticas, donde únicamente hay un equipo expuesto, no son las mismas que las soluciones empresariales.

3. Métodos de instalación rápidos. Para permitir la reinstalación rápida en caso de contingencia.

33

4. Asegurar licencias. Determinados softwares imponen métodos de instalación de una vez, que dificultan la reinstalación rápida de la red. Dichos programas no siempre tienen alternativas pero ha de buscarse con el fabricante métodos rápidos de instalación.

5. Buscar alternativas más seguras. Existe software que es famoso por la cantidad de agujeros de seguridad que introduce. Es imprescindible conocer si se puede encontrar una alternativa que proporcione iguales funcionalidades pero permitiendo una seguridad extra.

Consideraciones de la red

Disponer de una visión clara del funcionamiento de la red permite poner puntos de verificación de filtrado y detección ahí donde la incidencia es más claramente identificable. Sin perder de vista otros puntos de acción es conveniente:

1. Mantener al máximo el número de recursos de red en modo de sólo lectura. De esta forma se impide que computadoras infectadas los propaguen.

2. Centralizar los datos. De forma que detectores de virus en modo batch puedan trabajar durante la noche.

3. Realizar filtrados de firewall de red. Eliminar los programas que comparten datos, como pueden ser los P2P; Mantener esta política de forma rigurosa, y con el consentimiento de la gerencia.

4. Reducir los permisos de los usuarios al mínimo, de modo que sólo permitan el trabajo diario.

5. Controlar y monitorizar el acceso a Internet. Para poder detectar en fases de recuperación cómo se ha introducido el virus, y así determinar los pasos a seguir.

Formación del usuario

Esta es la primera barrera de protección de la red.

Antivirus

Es conveniente disponer de una licencia activa de antivirus. Dicha licencia se empleará para la generación de discos de recuperación y emergencia. Sin embargo, no se recomienda en una red el uso continuo de antivirus.

El motivo radica en la cantidad de recursos que dichos programas obtienen del sistema, reduciendo el valor de las inversiones en hardware realizadas. Aunque si los recursos son suficientes, este extra de seguridad puede ser muy útil.

34

Sin embargo, los filtros de correos con detectores de virus son imprescindibles, ya que de esta forma se asegurará una reducción importante de elecciones de usuarios no entrenados que pueden poner en riesgo la red.

Firewalls

Filtrar contenidos y puntos de acceso. Eliminar programas que no estén relacionados con la actividad. Tener monitorizado los accesos de los usuarios a la red, permite asimismo reducir la instalación de software que no es necesario o que puede generar riesgo para la continuidad del negocio. Su significado es barrera de fuego y no permite que otra persona no autorizada tenga acceso desde otro equipo al tuyo.

Reemplazo de software

Los puntos de entrada en la red la mayoría de las veces son el correo, las páginas web, y la entrada de ficheros desde discos, o de computadoras ajenas a la empresa.

Muchas de estas computadoras emplean programas que pueden ser reemplazados por alternativas más seguras.

Es conveniente llevar un seguimiento de cómo distribuyen bancos, y externos el software, valorar su utilidad.

Centralización y backup

La centralización de recursos y garantizarel backup delos datos es otra de las pautas fundamentales en la política de seguridad recomendada.

La generación de inventarios de software, centralización del mismo y la capacidad de generar instalaciones rápidas proporcionan métodos adicionales de seguridad.

Es importante tener localizado dónde se sitúa la información en la empresa. De esta forma podemos realizar las copias de seguridad de forma adecuada.

Control o separación de la informática móvil, dado que esta está más expuesta a las contingencias de virus.

Empleo de sistemas operativos más seguros

Para servir ficheros no es conveniente disponer de los mismos sistemas operativos que se emplean dentro de las estaciones de trabajo, ya que toda la red en este caso está expuesta a los mismos retos. Una forma de prevenir problemas es disponer de sistemas operativos con arquitecturas diferentes, que permitan garantizar la continuidad de negocio.

35

Temas acerca de la seguridad

Existen ideas instaladas por parte de las empresas de antivirus parte en la cultura popular que no ayudan a mantener la seguridad de los sistemas de información.

• Mi sistema no es importante para un cracker. Este tema se basa en la idea de que no introducir passwords seguras en una empresa no entraña riesgos pues «¿Quién va a querer obtener información mía?» Sin embargo, dado que los métodos de contagio se realizan por medio de programas automáticos, desde unas máquinas a otras, estos no distinguen buenos de malos, interesantes de no interesantes. Por tanto abrir sistemas y dejarlos sin claves es facilitar la vida a los virus. • Estoyprotegidopuesnoabroarchivosquenoconozco. Esto es falso, pues existen múltiples formas de contagio, además los programas realizan acciones sin la supervisión del usuario poniendo en riesgo los sistemas.

• Como tengo antivirus estoy protegido. Únicamente estoy protegido mientras el antivirus sepa a lo que se enfrenta y como combatirlo. En general los programas antivirus no son capaces de detectar todas las posibles formas de contagio existentes, ni las nuevas que pudieran aparecer conforme las computadoras aumenten las capacidades de comunicación.

• Como dispongo de un firewall no me contagio. Esto únicamente proporciona una limitada capacidad de respuesta. Las formas de infectarse en una red son múltiples. Unas provienen directamente de accesos a mi sistema (de lo que protege un firewall) y otras de conexiones que realizó (de las que no me protege). Emplear usuarios con altos privilegios para realizar conexiones tampoco ayuda.

• Tengo un servidor web cuyo sistema operativo es un UNIX actualizado a la fecha. Puede que esté protegido contra ataques directamente hacia el núcleo, pero si alguna de las aplicaciones web (PHP, Perl, Cpanel, etc.) está desactualizada, un ataque sobre algún script de dicha aplicación puede permitir que el atacante abra una shell y por ende ejecutar comandos en el UNIX.

17.5. Sistemas operativos más atacados

Las plataformas más atacadas por virus informáticos son la línea de sistemas operativos Windows de Microsoft. Respecto a los sistemas derivados de Unix como GNU/Linux, BSD, Solaris, Mac OS X, estos han corrido con mayor suerte debido en parte al sistema de permisos. No obstante en las plataformas derivadas de Unix han existido algunos intentos que más que presentarse como amenazas reales no han logrado el grado de daño que causa un virus en plataformas Windows.

Plataformas Unix, inmunes a los virus de Windows

Un virus informático sólo atacará la plataforma para la que fue desarrollado.

36