DIRECTOR DE LA FCA Mtro. Tomás Humberto Rubio Pérez

SECRETARIO GENERAL

Dr. Armando Tomé González – – – –

COORDINACIÓN GENERAL Mtra. Gabriela Montero Montiel

Jefa del Centro de Educación a Distancia y Gestión del Conocimiento

COORDINACIÓN ACADÉMICA Mtro. Francisco Hernández Mendoza

FCA-UNAM

COORDINACIÓN DE MULTIMEDIOS L. A. Heber Javier Méndez Grajeda

FCA-UNAM – – – –

AUTORES Maricarmen Hernández Cervantes

Espartaco David Kanagusico Hernández Adriana García Vargas

Revisión pedagógica

Mtro. Joel Guzmán Mosqueda

CORRECCIÓN DE ESTILO Mtro. Carlos Rodolfo Rodríguez de Alba

DISEÑO DE PORTADAS

L.CG. Ricardo Alberto Báez Caballero

DISEÑO EDITORIAL

L.D. y C.V. Verónica Martínez Pérez

3

.

Dr. Enrique Luis Graue Wiechers

Rector

Dr. Leonardo Lomelí Vanegas

Secretario General

Mtro. Tomás Humberto Rubio Pérez

Director

Dr. Armando Tomé González

Secretario General

Mtra. Gabriela Montero Montiel

Jefa del Centro de Educación a Distancia

y Gestión del Conocimiento

______________________________________________________ Seguridad informática Cuaderno de actividades

Edición:

D.R. © 2019 UNIVERSIDAD NACIONAL AUTÓNOMA DE MÉXICO

Ciudad Universitaria, Delegación Coyoacán, C.P. 04510, México, Ciudad de México.

Facultad de Contaduría y Administración

Circuito Exterior s/n, Ciudad Universitaria

Delegación Coyoacán, C.P. 04510, México, Ciudad de México.

ISBN:

Plan de estudios 2012, actualizado 2016.

“Prohibida la reproducción total o parcial por cualquier medio sin la autorización escrita

del titular de los derechos patrimoniales”

“Reservados todos los derechos bajo las normas internacionales. Se le otorga el acceso no exclusivo

y no transferible para leer el texto de esta edición electrónica en la pantalla. Puede ser reproducido

con fines no lucrativos, siempre y cuando no se mutile, se cite la fuente completa y su dirección

electrónica; de otra forma, se requiere la autorización escrita del titular de los derechos

patrimoniales.”

Hecho en México

4

OBJETIVO GENERAL

Al finalizar el curso, el alumno tendrá la sensibilidad sobre la importancia que la

seguridad en informática tiene en las organizaciones y obtendrá las bases

académicas y formativas necesarias para identificar, proponer y resolver situaciones

o eventos de carácter de seguridad informática.

TEMARIO OFICIAL

(64 horas)

Horas

1. Introducción a la seguridad informática

(conceptos y definiciones)

6

2. Análisis de riesgos 6

3. Arquitectura y diseño de seguridad 4

4. Criptografía 10

5. Seguridad física 4

6. Seguridad de la red y las telecomunicaciones 14

7. Seguridad de aplicaciones 12

8. Planeación de la continuidad del negocio y de la recuperación

en caso de desastre (BCP/DRP)

4

9. Legislación, regulaciones, cumplimiento e investigación 4

TOTAL 64

5

INTRODUCCIÓN A LA ASIGNATURA

La seguridad en informática dentro de las organizaciones se ha vuelto necesaria,

debido a que una de las herramientas indispensables para sus actividades

cotidianas son los equipos de cómputo y el internet. Aunado a que la información

generada de todas las operaciones de una organización es, en su mayoría o

completamente, almacenada en equipos de cómputo o bien compartida a través de

la red con aquellos autorizados para leerla o modificarla, lo cual implica que están

conectados a la red y, por ende, expuestos a terceros, que no dudarán en obtener

dicha información y explotar alguna vulnerabilidad, ya sea física, dentro de la

organización, para acceder de forma presencial al equipo, o bien, vía remota al

encontrar vulnerabilidades tanto en hardware como software.

Por lo anterior, resulta importante conocer en primera instancia los fundamentos de

la seguridad informática, los servicios de seguridad y los mecanismos de seguridad

para después conocer, comprender e implementar la seguridad de acuerdo a las

necesidades de seguridad detectadas en la organización para proteger sus activos.

Sin olvidar analizar los riesgos, en caso de ocurrir un incidente, para poder realizar

el plan de contingencias y que la organización continúe sus operaciones lo más

pronto posible, minimizando pérdidas económicas, políticas y sociales que la

podrían llevar a desaparecer si sus servicios no fueran restablecidos en el menor

tiempo posible.

6

ESTRUCTURA CONCEPTUAL

UNIDAD 1

INTRODUCCIÓN

A LA SEGURIDAD INFORMÁTICA

(CONCEPTOS Y DEFINICIONES)

8

OBJETIVO PARTICULAR

Al finalizar la unidad, el alumno conocerá los fundamentos y la razón de ser de la

seguridad informática y cómo se aplica en la seguridad de la información.

TEMARIO DETALLADO

(4 horas)

1. Introducción a la seguridad informática (conceptos y definiciones)

1. Conceptos y principios de la administración de la seguridad

2. Evolución histórica de la seguridad

3. Amenazas a la seguridad

4. Control de acceso

5. Hackers, crackers y sus variantes

9

INTRODUCCIÓN

En esta unidad se presenta una breve evolución histórica de la seguridad en

informática, a fin de revisar su importancia para las organizaciones durante el

trascurso del tiempo y los fundamentos de la seguridad en informática, los cuales

han sentado las bases para la creación de arquitecturas que van desde simples a

complejas para proteger los activos de la organización, ya que, en la actualidad, la

seguridad informática es de vital importancia para todas las organizaciones, dadas

las nuevas condiciones e infraestructura de cómputo disponible, así como su

interconexión a través de redes.

En este sentido, surgen nuevas amenazas para los sistemas de cómputo,

resultando importante, para minimizar riesgos conocer y concientizar a cada uno de

los miembros de una organización sobre la importancia y la sensibilidad de la

información y servicios críticos que favorecen el desarrollo de la organización y su

buen funcionamiento.

10

1.1. Conceptos y principios de la administración de la seguridad

Seguridad informática

La seguridad informática es la disciplina que se encarga de proteger los equipos de

cómputo, redes, sistemas informáticos y datos que en ellos se almacenan, de

agentes externos o internos que pudieran dañarlos o robarlos, y de mantenerlos

libres de riesgos.

La seguridad significa seguro; es decir, libre de riesgo.

La seguridad tiene que ver con:

La protección de la información cuando ésta es creada, adquirida,

almacenada o transmitida.

Amenazas, ataques y vulnerabilidades reales y potenciales.

Implementar servicios de seguridad usando mecanismos útiles y eficientes.

Misión de la seguridad informática

Facilitar el cumplimiento de la misión y objetivos de la organización a través de la

implementación de sistemas que consideren los riesgos tecnológicos a los que ésta

se enfrenta manteniendo bajo protección sus recursos e información.

11

Objetivos de la seguridad informática

Preservar la integridad, disponibilidad, confidencialidad y autenticidad de la

información existente y en ejecución dentro de los sistemas informáticos.

Confidencialidad Integridad Autenticidad Disponibilidad

Garantizar que la

información sólo

debe conocerla

quien o quienes

tienen derecho a

ello (autorización).

-Aplica a la

información

durante su:

-Almacenamiento.

-Procesamiento.

-Transmisión.

Garantizar que la

información no

sea alterada, sin

autorización.

Garantizar que la

información

provenga de

fuentes

autorizadas.

Garantizar que la

información sea

utilizada cuando

se requiera por

quien o quienes

tienen derecho a

ello.

Tabla 1.1. Objetivos de la seguridad informática.

El objetivo final de la seguridad es permitir que una organización cumpla con todos

sus objetivos de negocio o misión implementando sistemas que tengan un especial

cuidado y consideración hacia a los riesgos relativos de las TIC de la organización.

Estos objetivos pueden traslaparse o pueden ser mutuamente excluyentes, lo cual

dependerá de las necesidades de la organización.

12

Para lograr los objetivos de la seguridad, son necesarios:

Figura. 1.1. Servicios y mecanismos de seguridad.

Servicios de seguridad

La arquitectura de seguridad OSI (Modelo de Interconexión de Sistemas)

define cinco servicios de seguridad: Confidencialidad, autenticación, integridad,

control de acceso y no repudio. Es preciso anotar que en los documentos ISO 7498-

2 y ITU-T X.800 se establecen los servicios y mecanismos de seguridad

de la arquitectura OSI.

Un aspecto fundamental para los servicios de seguridad es la confidencialidad, que

es el servicio que garantiza que la información sea leída, copiada, eliminada o

modificada por las partes autorizadas.

Los servicios de seguridad: Garantizan en un sistema de información la adquisición, almacenamietno, procesamiento y transmisión de la información a través de los mecanismos de seguridad. Es decir, qué se requiere hacer.

Los mecanismos de seguridad: Son las técnicas mediante las que se implementan los servicios de seguridad. Es decir, cómo lograrlo.

13

De acuerdo a la arquitectura de seguridad OSI, los tipos de servicios

de confidencialidad son:

Figura 1.2 Tipos de servicio de confidencialidad.

Autenticación

Servicio que garantiza que los participantes en una comunicación sean quienes

dicen ser o el origen de los datos sea de donde debe venir.

De acuerdo a la arquitectura de seguridad OSI, los tipos de servicios de

autenticación son:

Figura 1.3 Tipos de servicio de autenticación

Tipos de servicio de

confidencialidad

Orientado a conexión

No orientado a conexión

De campo selectivo

Del flujo de tráfico

Autenticación de identidad

Autenticación de origen de datos.

14

Integridad

Protege la información contra toda acción de inserción, modificación, alteración y

eliminación no autorizada.

De acuerdo a la arquitectura de seguridad OSI, los tipos de servicios de integridad

son:

Orientada a conexión Orientada

Con

Recuperación

Sin

Recuperación

Selectiva

a campos.

Sin conexión Sin conexión

selectiva

a campos

Tabla 1.2. Tipos de servicio de integridad.

Control de acceso

Impide el acceso a la información y usos no autorizados de la misma.

Aquí resulta importante resaltar que existe una relación muy estrecha con la

autenticación, debido a que una persona debe ser autenticada antes de tener

acceso a los activos del sistema.

No repudio

Permite probar la participación de las partes en una comunicación, previniendo que

alguna de ellas niegue haber emitido (cuando sí lo hizo) o recibido un mensaje

(cuando sí lo recibió).

La siguiente tabla muestra los servicios de seguridad por nivel OSI según el

estándar ISO 7498-2.

15

Servicio Capa

1 2 3 4 5/6 7 Autenticación de entidades Y Y Y

Autenticación de origen Y Y Y

Control de acceso Y Y Y

Confidencialidad con conexión Y Y Y Y Y

Confidencialidad de un campo selectivo Y Y Y Y

Confidencialidad de flujo de tráfico Y

Integridad con conexión con recuperación Y Y Y

Integridad con conexión sin recuperación Y Y

Integridad con conexión de un campo selectivo Y Y Y

Integridad sin conexión Y

Integridad sin conexión de un campo selectivo Y Y Y

No repudio del origen Y

No repudio del destinatario Y

Tabla 1.3. Servicios de seguridad por nivel OSI según el estándar ISO 7498-2 (Areitio, 2008, p. 42).

IMPORTANTE: Se deben implementar los 5 primeros servicios para disminuir el

riesgo de sufrir indisponibilidad y éstos se estandarizan en el ISO-7498.

Mecanismos de seguridad

La arquitectura de seguridad OSI define mecanismos de seguridad, los cuales

proporcionan y dan soporte a los servicios de seguridad dividiéndolos en dos tipos:

específicos y generalizados.

16

Mecanismos de seguridad específicos

Utilizados para proporcionar servicios de seguridad concretos, confidencialidad,

integridad, autenticación dentro de un nivel determinado de la arquitectura OSI, a

su vez, estos mecanismos pueden subdividirse en: Cifrado de clave pública o

asimétrica y de clave privada o simétrica, firma digital, basada en criptografía de

clave pública, de control de acceso, de integridad de datos, intercambios de

autenticación, relleno de tráfico, control de encaminamiento y notarización.

Mecanismos de seguridad generalizados

No específicos para servicios concretos como, por ejemplo, responsabilidad,

auditoría, recuperación de la seguridad. Son los que no son propios de ningún nivel

concreto ni servicio de seguridad OSI. A su vez, estos mecanismos pueden

subdividirse en: Funcionalidad de confianza, etiquetas de seguridad, detección de

eventos, registro de auditoría de seguridad y recuperación de la seguridad.

Las siguientes tablas, muestran la relación de los servicios y mecanismos de

seguridad OSI según el estándar ISO 7498-2.

17

Mecanismo Cifrado Firma digital

Control de acceso

Integridad de datos Servicio

Autenticación de entidades Y Y

Autenticación de origen Y Y

Control de acceso Y

Confidencialidad con conexión Y

Confidencialidad sin conexión Y

Confidencialidad de un campo selectivo

Y

Confidencialidad de flujo de tráfico Y

Integridad con conexión con recuperación

Y Y

Integridad con conexión sin recuperación

Y

Integridad con conexión de un campo selectivo

Y Y

Integridad sin conexión Y Y Y Y

Integridad sin conexión de un campo selectivo

Y Y Y

No repudio del origen Y Y

No repudio del destinatario Y Y

Tabla 1.4. Relación de mecanismos de seguridad OSI según el estándar ISO 7498-2.

(Areitio, 2008, p. 32)

18

Tabla 1.5. Relación de servicios de seguridad OSI según el estándar ISO 7498-2. (Areitio, 2008, p. 32)

Servicio Intercambio de autenticación

Control de tráfico

Control de encaminamiento

Notarización

Autenticación de entidades

Y

Autenticación de origen

Control de acceso

Confidencialidad con conexión

Y

Confidencialidad sin conexión

Y

Confidencialidad de un campo selectivo

Confidencialidad de flujo de tráfico

Y Y

Integridad con conexión con recuperación

Integridad con conexión de un campo selectivo

Integridad sin conexión

Integridad sin conexión de un campo selectivo

No repudio del origen Y

No repudio del destinatario

Y

19

1.2. Evolución histórica de la seguridad

a evolución h istor i

Los primeros antecedentes sobre la seguridad en informática se remontan a las

civilizaciones antiguas, pues desde ese entonces se buscaba ocultar información a

terceros. Por ejemplo, los hebreos usaron un método llamado código espejo o Atbas

que es un tipo de cifrado por sustitución, los griegos utilizaron la escítala, el cual era

un cilindro de madera y se le enrrollaba una cinta de papiro o tela donde venía el

mensaje. La scytale permitía realizar un cifrado por transposición, método que

consistía en cambiar el orden de las letras que componen el mensaje a fin de

proteger los mensajes enviados, y así no enviar mensajes en texto claro, que, si por

alguna razón, caían en manos de quien no era el dueño carecerían de sentido.

Por su parte, Julio César enviaba mensajes cifrados a sus comandantes romanos,

haciendo uso del cifrado César, el cual también era un cifrado por transposición,

sólo que el cifrado de César consistía en escribir el mensaje con un alfabeto que

estaba formado por las letras del alfabeto, pero desplazadas tres posiciones a la

derecha.

Otro antecedente, se puede encontrar en el Renacimiento con el cifrado

polialfabético cuyo creador original fue León Batista Alberti, método de cifrado por

sustitución, que más adelante retomó Blaise de Vigenère y creó el cifrado que hoy

se conoce como Vigenère.

Ejemplos como los anteriores, son los primeros cifrados clásicos de transposición y

sustitución.

20

Como puede verse, en las civilizaciones antiguas tuvieron su aparición la

criptografía y el criptoanálisis. Sin embargo, su mayor uso e innovación, se dio

durante el siglo XX con las guerras mundiales, cuando máquinas de cifrado como

Enigma fueron creadas permitiendo obtener bases sólidas para la criptografía y el

criptoanálisis moderno.

Es así como en la década de los 70, se publica el primer algoritmo de cifrado público

(DES) y poco después el algoritmo de llave pública (RSA). Los cuales, desde su

creación hasta la fecha, han ido evolucionando y apareciendo en algoritmos de

cifrado cada vez menos vulnerables.

Ahora bien, para que la seguridad informática se incorporará con sus avances a las

organizaciones, tuvo que ocurrir un cambio de lo que era valioso para las

organizaciones y las personas, ya que la seguridad en las organizaciones, en sus

inicios, estaba enfocada a la seguridad física (inmuebles) y personas,

considerándose éstos como los activos de mayor valor dentro de la organización.

Esta idea tardaría un poco en transformarse hasta comprenderse que los datos y la

información son los activos de mayor valor para una organización pues de ellos

dependen innumerables actividades diarias. Para ello, las organizaciones tuvieron

que pasar por innumerables ataques en sus sistemas de cómputo producidos por

código malicioso que explotaba una o varias vulnerabilidades en dichos sistemas,

llegando así la década de los 80, cuando se acuña el término de virus informático y

el de seguridad informática, pues fue hasta entonces que las organizaciones

reconocieron a los datos y a la información como sus activos de mayor valor y que

al estar almacenados en equipos conectados a la red estaban aún más expuestos

a un ataque.

21

1.3. Amenazas a la seguridad

Amenaza

Cualquier acción con el potencial suficiente para causar un incidente y atentar contra

la seguridad de la información y/o causar pérdidas o daños a un sistema explotando

una vulnerabilidad o inclusive a toda la organización. Por lo anterior es importante

decir que las amenazas son consecuencia de una o varias vulnerabilidades

encontradas y aprovechadas.

Algunos ejemplos de amenazas son:

Figura 1.4. Ejemplos de amenazas.

Desastres naturales

Errores humanos

Fallas internas del hardware o del software

22

Clasificación de las amenazas

Las amenazas de acuerdo a las vulnerabilidades que explotan en los sistemas y el

daño, alteración o intervención que podrían producir sobre la información pueden

clasificarse en amenazas de:

Figura 1.5. Tipos de amenazas.

Amenazas de Interrupción

Cuando un activo del sistema es destruido, se hace no disponible o inutilizable. Se

considera una amenaza a la disponibilidad.

Amenazas

Interrupción

Intercepción

Modificación

Fabricación

A B

23

Ejemplos:

Destrucción y/o inutilización intencional del disco duro.

Borrado de un programa.

Amenazas de intercepción

Cuando un tercero sin autorización logra acceso a un activo del sistema. Se

considera una amenaza a la confidencialidad.

Ejemplos:

Copia de archivos de datos.

Captura de datos en la red usando herramientas como un sniffer.

Amenazas de modificación

Cuando un tercero, sin autorización, logra acceso a un activo del sistema y puede

manipular ese activo corrompiéndolo, se considera una amenaza a la integridad.

A B

C

A B

C

24

Ejemplos:

Cambiar los valores originales de un archivo determinado.

Alterar el funcionamiento de un programa.

Modificar la respuesta enviada a un usuario.

Amenazas de fabricación

Cuando un tercero sin autorización puede fabricar objetos falsos en un sistema. Se

considera una amenaza a la integridad.

Ejemplos:

Inserción de mensajes falsos en un sistema de comunicación en red.

Agregar registros adicionales sin autorización a un archivo determinado.

Las amenazas según su origen, pueden clasificarse en amenazas de:

Software

Físicas

Humanas

A B

C

25

Amenazas de software

Dentro de este tipo de amenazas están los daños causados por el software

malintencionado como:

Virus

Código malicioso incorporado al código default de una aplicación que puede dañar

hardware, software o la información. Para su propagación a otros equipos o

sistemas requiere de la intervención humana.

Gusanos

Código malicioso que no necesita, para su propagación, la intervención humana, lo

hace de forma automática.

Troyanos

Código malicioso que aparenta ser un software útil. Un subtipo de troyano es el

backdoor.

Spyware

Código malicioso, cuyo objetivo es obtener información acerca del usuario del

equipo de cómputo, la cual en ocasiones es entregada a empresas que envían

publicidad sobre los temas de interés de éste o la utilizan para otro fin.

26

Amenazas físicas Amenazas humanas

Dentro de este tipo de amenazas están

los daños causados por razones físicas

y naturales.

Dentro de este tipo de amenazas están

los daños causados por actos humanos,

que pueden afectar la seguridad de un

sistema.

Tabla 1.6. Amenazas físicas y humanas.

Ataques

Un ataque es cualquier acción que explota una vulnerabilidad del sistema de

manera accidental o deliberada materializándose una amenaza.

Un ataque es:

un asalto a la seguridad del sistema derivado de una amenaza inteligente; es decir, un acto inteligente y deliberado (especialmente en el sentido del método o la técnica) para eludir los servicios de seguridad y violar la política de seguridad de un sistema (Stallings, 2004, p. 5).

Un ataque tiene un impacto. Un impacto es la consecuencia de la materialización

de una o más amenazas sobre uno o varios activos aprovechando la vulnerabilidad

del sistema.

De acuerdo con el impacto causado a los activos, los ataques se clasifican en dos

tipos:

Ataques pasivos

Son ataques donde el atacante accede sin autorización, observa comportamientos

o lee información, sin alterar el estado del sistema o la información. Sólo afecta la

confidencialidad del sistema o de la información. Son difíciles de detectar por no

haber alteración en los datos.

27

Ejemplos:

Lectura de mensajes.

Análisis de tráfico.

Ataques activos

Son ataques donde el atacante modifica y/o afecta información y/o estado de

sistema afectando la confidencialidad, integridad y autenticidad de la información o

del sistema.

Ejemplos:

Suplantación.

Réplica y modificación de mensajes.

Negación de servicio.

De acuerdo al elemento que atacan para acceder a los activos, los ataques se

clasifican en cinco tipos:

Figura 1.6. Tipos de ataques.

1.4. Control de acceso

Dentro de la seguridad informática un tema fundamental es controlar técnica, física

o administrativamente, la forma como se accede a los recursos de un sistema o al

sistema, para que puedan ser protegidos de la modificación, eliminación o

divulgación no autorizados.

Definiciones de control de acceso

Término usado para describir el proceso por el cual se puede acceder a

los recursos del sistema o al sistema mismo para protegerlos, a través de

la implementación de políticas de seguridad.

Es el proceso de otorgar o denegar permisos de acceso a un sistema o a

cualquiera de sus recursos con base en un modelo de seguridad, a través

de mecanismos ejecutados por hardware, software y administradores.

30

Componentes del control de acceso

El acceso es la transferencia de información desde un sujeto o principal a un objeto.

Los componentes del control de acceso son el sujeto, el principal y el objeto.

El sujeto es quien recibe, altera o modifica los datos o la información de un objeto y

es una entidad activa representada por un programa, un usuario, un intruso, un

equipo de cómputo o un proceso. El principal es un atributo o propiedad asociada

con un sujeto, por ejemplo, una clave pública o un proceso. Mientras tanto el objeto

es una entidad pasiva representada por un archivo, una base de datos, una

aplicación o medios de almacenamientos, etc.

Para el control de acceso, se requiere la autorización, que es la concesión de

derechos por parte de un propietario de un recurso o sistema a otros usuarios, para

acceder a éstos.

Objetivo

El control de acceso se implementa para asegurar la confidencialidad, la integridad

y la disponibilidad.

31

Características para implementar un buen control de acceso.

Características Descripción

Mínima complejidad Uso de simplicidad en el diseño.

Verificación forzosa Verificación en cada acceso.

Mínimos privilegios Asignar el o los menores privilegios para cada tarea.

Usabilidad Interfaz fácil de usar.

Evitar “security by obscurity” El diseño debe ser público.

La seguridad debe residir en la fortaleza del algoritmo aplicado

y en la llave, no en el hecho de mantenerlo oculto.

Disminución de los errores

en el software

Detectar con anticipación errores que causen problemas

potenciales.

Tabla 1.7. Características para control de acceso. (Areitio, 2008, p. 108)

Modelos de control de acceso

Los diferentes modelos de control de acceso principales son: Control de Acceso

Discrecional (DAC), Control de Acceso Obligatorio (MAC) y Control de Acceso

Basado en Roles. (RBAC).

Control de acceso discrecional (Discretionary Access Control) (DAC).

Modelo que da a los sujetos el control total de los objetos, es un tipo de acceso a

recursos basado en los propietarios y grupos a los que pertenece un objeto, donde

un sujeto, con determinados permisos de acceso, puede pasar esos permisos a

cualquier otro sujeto; es decir, puede cambiar los atributos de seguridad de sus

objetos. Es el modelo menos restrictivo de los tres modelos. Este nivel de control

completo sobre los objetos puede ser peligroso.

32

Sistemas operativos UNIX, Linux y Windows utilizan DAC para su sistema de

archivos.

Control de Acceso Obligatorio (Mandatory Access Control) (MAC)

Modelo que restringe el acceso a los objetos basado en la sensibilidad de la

información contenida en los objetos y la autorización formal de los sujetos al acceso

de dicha información. Se establecen las funciones de los usuarios estrictamente de

acuerdo a lo que indique el administrador, por lo que este método de control de

acceso es restrictivo ya que el usuario final no puede establecer controles de acceso

en los archivos, garantizando así que una política definida se aplique a todos los

usuarios.

Controles de Acceso Basado en Roles (Rule Based Access Control) (RBAC)

Modelo en el que los permisos de acceso a funciones o trabajos específicos dentro

de la organización se otorgan a perfiles o roles. Los usuarios se registran con un

perfil según características y/o responsabilidades con lo que se le concede

privilegios correspondientes.

Capas del control de acceso

Controles administrativos

Son llamados también controles directivos, se implementan mediante la creación y

seguimiento de las políticas, procedimientos o reglamentos organizacionales

necesarios para proteger los activos. La formación de usuarios y la concientización

son ejemplos de este tipo de controles.

33

Controles técnicos

Son implementados mediante software, hardware o firmware que restringe el

acceso lógico en un sistema. Los firewalls, routers y cifrado son ejemplos de este

tipo de controles.

Controles físicos

Son implementados con dispositivos físicos, tales como cerraduras, cercas, puertas,

y los guardias de seguridad para proteger las instalaciones y recursos internos.

Figura 1.7. Controles físicos.

Categorías del control de acceso defensivo

Hay seis tipos de control de acceso:

Controles administrativos

Controles técnicos

Controles físicos

Datos y activos de

la organización

Figura 1.8. Ejemplos de controles de acceso.

Estos seis tipos de control de acceso pueden pertenecer a una de las tres capas de

control de acceso: administrativas, técnicas o físicas.

La autenticación e identificación

Un concepto clave para la aplicación de cualquier tipo de control de acceso, es el

control de la autenticación correcta de los sujetos dentro del sistema. Un sujeto se

puede identificar a sí mismo; pero en esta identificación no se puede confiar. El tema

entonces es la autenticación al proporcionar una garantía de que la identidad

declarada es válida. Un conjunto de credenciales es el término utilizado para la

combinación de la identificación y la autenticación de un usuario.

Hay tres métodos básicos de autenticación: Tipo 1 (algo que sabe), Tipo 2 (algo que

tiene), y Tipo 3 (algo que es). Un cuarto tipo de autenticación es un lugar en el que

está.

Una autenticación fuerte consiste en emplear autenticadores que pertenezcan a dos

o más métodos distintos.

Figura 1.9. Métodos de autenticación.

Tecnologías de control de acceso

Hay varias tecnologías que se utilizan para la aplicación de los controles de acceso.

Como se presenta cada tecnología, es importante identificar lo que es único acerca

de cada solución técnica.

Single Sign-On

Single Sign-On (SSO) permite a múltiples sistemas, utilizar un servidor de

autenticación central (AS). Esto permite que los usuarios se autentiquen una vez y

accedan a múltiples sistemas diferentes. También permite a los administradores de

seguridad de añadir, modificar o revocar los privilegios de usuario en un sistema

central.

La desventaja principal de SSO, es que puede permitir a un atacante obtener acceso

a múltiples recursos después de poner en peligro uno de los métodos de

autenticación, como una contraseña. SSO se debe utilizar siempre con

autenticación multifactor por esta razón.

Gestión de identidad Federada (FIdM)

Se refiere a las políticas, procesos y tecnologías que establecen las identidades de

los usuarios y hacen cumplir las reglas sobre el acceso a los recursos digitales. Con

un sistema de gestión de identidad una empresa, en lugar de tener las credenciales

separadas para cada sistema con los que cuenta, puede emplear una única

identidad digital para acceder a todos los recursos a los que el usuario tiene

derecho. La Gestión de identidad permite extender este enfoque por encima del

nivel de la empresa, la creación de una autoridad de confianza para las identidades

digitales a través de múltiples organizaciones. En un sistema federado, las

instituciones participantes basan su identidad en atributos acordados y

estandarizados, facilitando la autenticación de otros miembros de la federación y

38

facilitando el acceso adecuado a los recursos en línea. Este enfoque simplifica el

acceso a los activos digitales y al mismo tiempo protege los recursos restringidos.

Kerberos

Kerberos fue creado en el M.I.T. (Massachussetts Institute of Technology) y es un

servicio de autenticación de terceros que puede usarse para apoyar Single Sign-

On. Se basa en el cifrado simétrico y proporciona autenticación mutua de los

clientes y los servidores en una red insegura.

La arquitectura de Kerberos está basada en tres objetos de seguridad: Clave de

Sesión, Ticket y Autenticador.

SESAME

(Secure European system for Applications in a Multivendor Environment)

Sistema Europeo seguro para aplicaciones en un entorno de múltiples fabricantes,

soporta entornos heterogéneos. Es un sistema de un inicio de sesión único muy

parecido al de Kerberos.

SESAME se puede considerar como una especie de extensión a Kerberos con

servicios adicionales tales como: funciones sofisticadas de control de acceso, la

escalabilidad de sistemas de clave pública, una mejor capacidad de gestión,

auditoría y delegación, así como la utilización de la criptografía de llave pública.

39

1.5. Hackers, crackers y sus variantes

Atacante

Es cualquier persona o proceso que realiza un ataque y generalmente lo hace de

manera remota. Va más allá de crear software malicioso y dejarlo en la red a

disposición de todos, toma el control de sistemas informáticos completos.

El atacante puede ser capaz de acceder a los recursos del sistema para leer, alterar,

modificar, cambiar, fabricar, retener, reenviar información o bien solo molestar. Así

como también engañar y suplantar a las partes legítimas en una comunicación.

Son sinónimos de atacante: enemigo, cracker, hacker intruso, entre otros.

Dependiendo de los conocimientos que tengan sobre técnicas de hacking y de los

daños que causen los atacantes se clasifican en:

Hacker

Experto de una o varias áreas de dominio específicas con mente curiosa,

apasionada del conocimiento, el proceso de aprendizaje, el descubrimiento y el

deseo de comprender el funcionamiento de las cosas en general.

40

En el aspecto ético (dependiendo sus acciones y moral) se clasifica a los hackers

en:

Figura 1.10. Clasificación de hackers.

White hat hackers (good guys)

Profesional con conocimientos de hacking, que sigue un código de ética,

usualmente alineado con alguna organización, es el encargado de proteger los

sistemas informáticos de los ataques que pueda sufrir, ya que localiza las

vulnerabilidades e implementa las contramedidas necesarias. También utilizan su

conocimiento en beneficio de la sociedad.

Black hat hackers

No respetan un código de ética, utilizan sus conocimientos para el mejor postor por

dinero, o bien para mostrar su rebeldía a la sociedad.

White hat hackers

Black hat hackers

Grey hat hackers

41

Grey hat hackers (bad guys)

Según les convenga en ocasiones están dentro del marco de la legalidad y en otras

no. Trabajan de manera ofensiva y defensiva. Realizan acciones maliciosas o

defensivas.

Wannabes (amateur que juega)

Personas sin experiencia en sistemas o redes que utilizan herramientas

automatizadas creadas por profesionales y puestas a disposición de cualquiera en

la red.

Crakers

Personas que utiliza técnicas de hacking para beneficio propio, tiene conocimientos

de ingeniería inversa, por lo que puede obtener seriales, cracks o generadores de

claves de programas que requieren licencia.

Phreaker

Personas con conocimientos y experiencia en telecomunicaciones, explotan las

vulnerabilidades de la telefonía.

Newbie

Personas novatas que están aprendiendo técnicas de hacking.

42

Script Kiddie

Persona sin conocimientos de hacking que utilizan herramientas automatizadas

creadas por profesionales y puestas a disposición de cualquiera en la red.

Para finalizar, ante la presencia de un atacante y de haber sido objeto de un ataque,

la organización deberá generar o replantear el esquema de seguridad lógico y/o

físico dependiendo el tipo de ataque y el objetivo del éste.

Habiendo analizado los rastros encontrados, e identificado y evaluado las medidas

de seguridad existentes podrá tomarse la decisión de replantearlas o bien

implementar nuevas medidas, teniendo presente ante todo qué activos deberán

protegerse, el impacto y el riesgo que conlleva que se presente un nuevo ataque.

43

RESUMEN

La seguridad informática es la disciplina que se encarga de proteger los equipos de

cómputo, redes, sistemas informáticos y datos que en ellos se almacenan, de

agentes externos o internos que pudieran dañarlos o robarlos manteniéndolos libres

de riesgos.

Los objetivos de la seguridad informática son preservar la integridad, disponibilidad,

confidencialidad y autenticidad de la información existente y en ejecución dentro de

los sistemas informáticos. Para lograr objetivos de la seguridad, son necesarios los

servicios de seguridad y los mecanismos de seguridad que protegerán los activos

de la información de una organización de cualquier amenaza que pudiera

presentarse al querer explotar alguna vulnerabilidad.

Una amenaza en seguridad informática es cualquier acción con el potencial

suficiente para atentar contra la seguridad de la información y/o causar pérdida o

daño al sistema que explote una vulnerabilidad, pudiendo presentarse amenazas

de interrupción, intercepción, modificación y fabricación o bien ataques activos o

pasivos que exploten una vulnerabilidad del sistema de manera accidental o

deliberada, materializando una amenaza.

Dentro de la seguridad informática, para disminuir el riesgo de una amenaza, existe

la posibilidad de controlar técnica, física o administrativamente la forma como se

accede a los recursos de un sistema y esto es con el control de acceso, el cual para

implementarlo requiere sean tomadas en cuenta una serie de características, así

como modelos de control de acceso tales como Control de Acceso Discrecional

(DAC), Control de Acceso Obligatorio (MAC) y control de acceso Basado en

roles.(RBAC) y se elijan las categorías del control de acceso y la tecnología de

control de acceso más adecuada de acuerdo a los activos que se quieren proteger.

44

BIBLIOGRAFÍA DE LA UNIDAD

Bibliografía sugerida

Autor Capítulo Páginas

CISSP Certification Guide II. Asset Security II

45

UNIDAD 2 ANÁLISIS DE RIESGO

46

OBJETIVO PARTICULAR

Al finalizar la unidad, el alumno podrá determinar los diferentes tipos de riesgos

y las vulnerabilidades que los podrían originar y los métodos para mitigarlos.

TEMARIO DETALLADO

(6 horas)

2. Análisis de riesgo

2.1. Administración de riesgos

2.2. Amenazas y vulnerabilidades

2.3. Determinación de probabilidades

2.4. Valuación de activos

2.5. Herramientas y técnicas de evaluación de riesgos

2.6. Metodologías de evaluación de riesgo (cualitativas y cuantitativas)

2.7. Cálculo de expectativa de pérdida anual (ALE)

2.8. Selección de medidas de contención

2.9. Evaluación de medidas de contención

2.10. Reducción, transferencia y aceptación de riesgos

47

INTRODUCCIÓN

La información es un activo sumamente importante para las organizaciones;

información sobre la organización, clientes y empleados, son datos sensibles que

deben ser protegidos, y es tarea de la gestión de riesgos proteger la información

sensible de las organizaciones. Para esto existen diversos métodos para proteger

la información. En esta unidad se tratará cómo gestionar los riesgos de la

información, a través de la utilización de metodologías para la gestión de riesgos

como CRAMM, MEHARI y MAHERIT; dichas metodologías se basan en la

utilización de procedimientos para la identificación de los activos más importantes

de la organización; la identificación de amenazas; la eliminación de las

vulnerabilidades; la selección de las medidas de contención; implantación de las

mismas y, por último, su evaluación, para iniciar nuevamente el ciclo de la gestión

de riesgos. Ya que las amenazas nunca desaparecen, sino por el contrario

permanecen y evolucionan, la gestión de riesgos debe también ser permanente y

estar actualizada para garantizar la seguridad de los sistemas de información.

48

2.1. Administración de riesgos

Los sistemas de información mantienen información importante para las

organizaciones, por lo que deben ser protegidos de amenazas. Si las amenazas se

concretan, entonces se producirá un daño. Los daños a los sistemas de información

pueden provenir de actividades cotidianas como visitar sitios web de dudosa

confiabilidad, o bajar archivos sin verificar el contenido de los mismos. Realizar las

actividades antes descritas es un riesgo. Un riesgo es la posibilidad de un

contratiempo en un sistema de información. Este contratiempo puede ser la

destrucción o el robo de información.

Para evitar estos contratiempos, es necesario gestionar los riesgos para impedir un

daño o al menos minimizarlo, y éste es el objetivo de la administración de riesgos.

La administración de riesgos se apoya en recursos de hardware, software,

procedimientos y herramientas para eliminar o, al menos, minimizar las

vulnerabilidades de los sistemas de información.

Existe hardware que ayuda a gestionar los riesgos. El hardware puede ser utilizado

para proteger el equipo, la red o los datos. En el caso de la protección del equipo:

49

Figura 2.1. Software para proteger el equipo, la red o los datos.

En el caso de la protección de la red y los datos que viajan en la misma:

Utilización de firewalls de hardware.

Utilización de redes seguras como VPN.

También se utiliza software para la gestión de riesgos, éste se utiliza para proteger

los datos.

Uso de antivirus.

Uso de firewall de software.

Si se utiliza internet para transmitir información, utilizar protocolos como SSL

(Secure Socket Layer) para proteger la información.

Si se van a realizar pagos, utilizar el protocolo SET (Secure Electronic

Transaction) para realizar pagos seguros con tarjeta de crédito o débito.

Utilización de reguladores de voltaje

Utilización de equipos de suministro de energía No-Break.

Utilización de sistemas que restrinjan el acceso a los equipos, como tarjetas inteligentes, o sistemas de reconocimiento de huella digital.

Utilización de medios de almacenamiento externo para realizar respaldos.

50

Los procedimientos son la manera en como utilizamos el hardware y el software,

esto es, el antivirus debe ser actualizado para que la base de datos de virus se

mantenga al día, el no break debe ser sustituido cuando termine su periodo de vida.

Ahora, los procedimientos son cómo utilizar el hardware y el software a nuestra

disposición:

Figura 2.2. Procedimientos para uso del hardware y software.

Para la protección del equipo.

Ubicación de los equipos en lugares restringidos.

Acceso solo al personal autorizado.

En caso de servidores, llevar una bitácora de las personas que acceden a los mismos.

51

En el caso de la protección de la red:

Figura 2.3. Recomendaciones para la protección de la red.

En el caso de la protección de los datos:

Figura 2.4. Recomendaciones para protección de datos.

Revisar bitácoras de los firewalls para determinar si han existido intentos de accesos no autorizados.

Actualización y configuración de seguridad de navegadores en el caso de que se use Internet.

No utilizar redes wi-fi públicas.

Las contraseñas no deben ser obvias, deben contener letras y números y combinar letras mayúsculas y minúsculas.

Los antivirus deben mantenerse actualizados.

Respaldo de información de manera periódica.

No abrir correos que contienen ligas.

52

Utilizando los recursos con los procedimientos adecuados se logrará una buena

gestión de riesgos, pues se evitarán fallas en los equipos, accesos no autorizados

en la red, y la pérdida o robo de datos.

Los recursos y los procedimientos son útiles para la gestión de riesgos, pero los

resultados pueden mejorar si se utilizan herramientas como las metodologías para

la gestión de riesgos. La ventaja de usar una metodología, es que los recursos y

procedimientos se utilizan de manera ordenada, se utilizan donde más se necesitan

y se pueden evaluar los resultados. Existen diversas metodologías para la gestión

de riesgos, entre ellas CRAMM, MEHARI y MAHERIT, las cuales serán vistas en el

subtema 2.5 “Herramientas y técnicas de evaluación de riesgos”, la manera de

gestionar los riesgos de cada metodología varía, pero el objetivo es el mismo:

gestionar los riesgos y garantizar la confidencialidad (prevenir la visualización de la

información a personas no autorizadas), la disponibilidad (que la información sea

accesible a las personas autorizadas) y la integridad (mantener la información libre

de modificaciones no autorizadas) de un sistema de información (Alegre, 2011, pp.

10-11).

53

2.2 . Amenazas y vulnerabilidades

Una amenaza es la posibilidad de sufrir un ataque, si dicha amenaza se concreta,

entonces se sufrirá de un daño en el sistema de información; ya sea en el hardware,

software, los datos, o la red.

Las amenazas pueden ser externas cuando una persona ajena a la organización

intenta atacar al sistema de información. Pero pueden ser internas, si es alguien

dentro de la organización quien comete el ataque, o simplemente por una mala

gestión de riesgos del administrador del sistema de información, o del administrador

de la red, o del encargado del mantenimiento a los equipos de cómputo.

La amenaza puede ser física, si es una amenaza a los equipos o a la red. La

amenaza puede ser lógica, si el daño puede suceder en los programas, o en los

datos.

Las amenazas se pueden eliminar o al menos minimizar. Lo ideal es eliminar la

amenaza, pero existen amenazas que difícilmente se pueden eliminar, como, por

ejemplo, un cracker que desea ingresar al sistema. Es la tarea de la administración

de los riesgos preverlas, implementar medidas de protección para evitarlas o al

menos minimizar los daños, en caso de que se materialice una amenaza.

La vulnerabilidad es una debilidad en el sistema de información, las debilidades son

los puntos donde la amenaza se puede materializar. Las vulnerabilidades están

relacionadas directamente con las amenazas, porque si no existe una amenaza,

tampoco existe una vulnerabilidad. Las vulnerabilidades pueden ser en el hardware,

software en la red o en los procedimientos.

54

Por ejemplo, si una computadora no cuenta con un antivirus, entonces es una

vulnerabilidad de software, si la amenaza de ataque de un virus se concreta,

entonces el sistema será vulnerado.

Si el servidor no cuenta con un no break entonces es una debilidad de hardware, si

ocurre un fallo en el suministro de energía eléctrica (amenaza) entonces el servidor

dejará de funcionar. Si el sistema de información utiliza una red wi-fi sin protección

entonces es una vulnerabilidad en la red. Si no se realizan respaldos de la

información, entonces es una vulnerabilidad en el procedimiento.

El primer paso para eliminar una vulnerabilidad es identificarla, una vez identificada

se puede corregir. Una manera de identificar las amenazas y las vulnerabilidades

de un sistema de información es a través de la realización de una tabla de amenazas

versus vulnerabilidades.

En una columna, identificamos la amenaza y en la columna siguiente la

vulnerabilidad. Dependiendo del sistema de información, las amenazas y

vulnerabilidades varían, esta tabla deberá ser utilizada de acuerdo a las

particularidades de cada sistema de información.

55

Amenaza Vulnerabilidad H

ard

wa

re

Fallo en el suministro de energía

eléctrica.

No se cuenta con un sistema de energía

ininterrumpida.

Fallo en el disco duro. No se realizan respaldos de la

información

A lo

s d

ato

s Infección por virus. No se cuenta con un antivirus

Intrusión de un craker al sistema de

información

Utilización de contraseñas obvias

A la

re

d Utilización de una red wi-fi pública para

conectarse al sistema de información

Robo de información

Accesos no autorizados a la red No se utiliza un Firewall

Tabla 2.2. Amenazas y vulnerabilidades.

Una vez identificadas amenazas y vulnerabilidades, el responsable del sistema de

información tendrá información precisa de los elementos a los que hay poner

atención para fortalecer la seguridad (Alegre, 2011, pp. 11-12).

56

2.3 . Determinación de probabilidades

Una probabilidad es la posibilidad de que un hecho se concrete. Una amenaza es

la posibilidad de que ocurra un daño en un sistema de información. Una de las tareas

de la gestión de riesgos, es determinar cuál es la probabilidad de que una amenaza

se concrete. Pero cómo saber qué tan probable es un ataque.

No es lo mismo la probabilidad de ataque a una cuenta de Facebook, a la

probabilidad de ataque al sitio web de un banco. Es más probable que alguien

intente burlar la seguridad de un sistema de información bancario, que la cuenta de

Facebook de una persona común y corriente. Y aunque no se descarta la amenaza

de ataque a la cuenta de Facebook, las probabilidades disminuyen, así como la

forma y los recursos para proteger la cuenta de Facebook.

Para estimar la probabilidad de que una amenaza se concrete, hay que hacerse

preguntas que nos indiquen a qué tipo de amenazas nos enfrentamos:

¿Cuál es nuestra actividad? Es la primera pregunta, la organización es

lucrativa o no lucrativa, se dedica a los servicios o a la industria, es pequeña,

mediana o grande, tiene un alcance regional, nacional o internacional.

¿La información de la actividad que realizamos, da pie a ataques? No es lo

mismo si la organización no tiene fines lucrativos, a una empresa que sí los

tiene, o si es una institución religiosa o una institución militar. Dependiendo

de la actividad es la posibilidad de sufrir un ataque al sistema de información.

¿Qué tipos de amenazas existen? Una vez determinado si existe la

probabilidad de un ataque, entonces es necesario determinar el tipo de

ataque que se puede sufrir. Por ejemplo, una empresa dedicada al desarrollo

de teléfonos inteligentes debe proteger sus innovaciones o inventos, en este

caso la amenaza es el robo de información de un nuevo producto.

57

¿Cuáles son las vulnerabilidades? Una vez determinada la amenaza, hay

que determinar la vulnerabilidad con la tabla descrita en el capítulo anterior,

por ejemplo, continuando con el ejemplo de la empresa de teléfonos

inteligentes, una vulnerabilidad puede ser que el sistema no cuenta con

sistemas de cifrado para la información de nuevos productos.

En caso de vulnerabilidades. ¿Cómo resolverlas? Continuando con el caso

de la empresa de teléfonos inteligentes, si se diera el caso de

vulnerabilidades, éstas deben corregirse con el uso de contraseñas difíciles

de romper, el uso de un firewall, la supervisión constante del administrador

del sistema, etc.

Para realizar esta actividad de manera ordenada, se puede utilizar un

diagrama de flujo, a partir de la segunda pregunta. Tomemos como ejemplo

el sistema de información de un banco, el administrador del sistema de

información desea proteger la información de los cuentahabientes:

Figura 2.5. Diagrama de flujo para protección de información de cuentahabientes.

58

También se debe clasificar la probabilidad de amenaza como Baja, Mediana y Alta.

Baja: Existen pocas probabilidades de un ataque.

Mediana: Existen condiciones que hacen probable un ataque.

Alta: Ataque inminente.

Para el caso visto en el diagrama de flujo, es evidente que las posibilidades de

ataque son altas, debido a que se trata de una institución bancaria, y es necesario

resolver de manera inmediata las vulnerabilidades.

59

2.4 . Valuación de activos

La valuación del hardware de un sistema de información es un activo tangible que

está determinado por su valor de mercado, donde un equipo determinado alcanzará

un precio de acuerdo a sus características.

El software, es un activo intangible, y, específicamente, los datos de un sistema de

información no siempre se valúan de la misma forma que los activos tangibles. Si

se trata de una aplicación, valuarla a su precio de mercado es sencillo, por ejemplo,

el costo de un paquete de ofimática, un manejador de bases de datos, o un paquete

administrativo. Cuánto cuesta un paquete de ofimática, un manejador de bases de

datos, o un paquete administrativo.

En el caso de que los datos del sistema de información sean diferentes, su

valoración puede ser subjetiva, por ejemplo, se pueden valuar utilizando un criterio

de costo de recuperación.

Qué pasa si por alguna falla de hardware o de software, los datos se pierden o se

corrompen. Si es posible recuperarlos, ¿cuánto cuesta la recuperación o la

captura?, ésta es una manera de determinar los costos de la pérdida de información.

En el caso de la seguridad informática, es necesario definirla para cada tipo de

información y para cada activo de hardware, dependiendo de la gravedad de la

pérdida de información o de un hardware.

60

Se deben hacer preguntas como las siguientes:

¿Qué pasa si perdemos la información de los clientes?

¿Qué pasa si el servidor de aplicaciones deja de funcionar?

¿Qué pasa si la información de los clientes es sustraída?

¿Qué pasa si el servidor web ya no puede ser visualizado en Internet?

La estimación de la pérdida facilita la valuación de un activo, respecto a la pérdida

que representa.

Si se asigna una cantidad de dinero a una pérdida, entonces se puede decidir

cuándo es aceptable una pérdida por riesgos de seguridad, y cuándo es

inaceptable.

61

2.5 . Herramientas y técnicas de evaluación de riesgos

La evaluación de riesgos es el estudio de las causas de amenazas a un sistema de

información y las consecuencias en caso de que las amenazas puedan concretarse.

La evaluación de los riesgos determinará cuáles son los riesgos que tendrían un

efecto negativo sobre el sistema de información, y, por lo tanto, deben ser tratados

con especial atención.

Existen herramientas para la evaluación de riesgos, cada una tiene una forma

distinta de gestionarlos y prevenirlos; pero su objetivo es el mismo: garantizar la

seguridad del sistema de información.

Entre las herramientas más conocidas se encuentran las siguientes:

I. CRAMM. El acrónico proviene de CCTARisk Analysisi and Management Method.

II. MAGERIT. La palabra magerit significa Madrid en castellano antiguo.

(Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información).

III. MEHARI. La palabra MEHARI, es el nombre de un tipo de dromedario de color

blanco.

62

CRAMM

Es una metodología de análisis de riesgos desarrollada por el Centro de Informática

y la Agencia Nacional de Telecomunicaciones del gobierno del Reino Unido. Su

versión inicial data de 1987 y la versión vigente es la 5.

Esta herramienta es utilizada por la OTAN, por las fuerzas armadas de Alemania,

y empresas como Unisys; además, utiliza evaluaciones cuantitativas y cualitativas.

Objetivos:

Identificar la seguridad de un sistema de información.

Identificar situaciones de contingencia para un sistema de información.

Identificar situaciones de contingencia de una red.

Generalmente, esta herramienta se utiliza para las siguientes actividades:

Análisis y gestión de riesgos.

Proteger la confidencialidad, integridad y disponibilidad de un sistema y de

sus activos.

A su vez, incluye las siguientes herramientas de evaluación de riesgo:

Evaluación de impacto empresarial

Identificación y evaluación de amenazas y vulnerabilidades

Evaluar los niveles de riesgo

La identificación de los controles necesarios una vez evaluado el riesgo.

Se divide en tres etapas:

Identificación y valoración de activos

De amenazas y evaluación de la vulnerabilidad

Contramedidas selección y recomendación

63

De acuerdo con los puntos anteriores, la herramienta CRAMM calcula los riesgos

para cada grupo de activos contra las amenazas a las que es vulnerable utilizando

una matriz de riesgo. Y basándose en los resultados del análisis de riesgos, produce

una serie de medidas aplicable al sistema de información para gestionar los riesgos.

MAGERIT

Es una metodología de análisis y gestión de riesgos de los sistemas de información

elaborada por el Consejo Superior de Administración Electrónica de España, está

diseñada para minimizar los riesgos al utilizar sistemas de información y está

enfocada a los organismos públicos. Actualmente está en su versión 3.

Actualmente, la utilización de las tecnologías de información es de uso generalizado

en las instituciones públicas y privadas; MAGERIT es una herramienta diseñada

para gestionar los riesgos en las instituciones públicas, aunque pueden utilizarse en

instituciones privadas; además, se utiliza para identificar las medidas que permitan

prevenir y corregir las vulnerabilidades, así como analizar las consecuencias en

caso de que las amenazas se concreten.

64

Objetivos:

Ofrecer un método sistemático de análisis de riesgos.

Detectar y eliminar vulnerabilidades.

Analizar las consecuencias de la concreción de amenazas.

Libros MAGERIT está divido en tres libros:

Método Catálogo de Elementos. Guía de Técnicas.

Este libro describe la estructura que debe poseer el modelo de gestión de riesgos.

Este libro, como su nombre lo indica, cataloga los activos del sistema de información, la forma de valuarlos, un listado de amenazas y la manera de mitigarlos.

Como su nombre lo indica, esta guía describe técnicas para el análisis de riesgos, como algoritmos y análisis de costo-beneficio.

Tabla 2.3. MAGERIT, división en libros.

PILAR es una herramienta que implementa la metodología MAGERIT de análisis y

gestión de riesgos, desarrollada por el Centro Criptológico Nacional (CCN). Se

puede descargar de la siguiente liga:

Centro Criptográfico Nacional. (10 de Octubre de 2019). Defensa frente a las amenazas. Recuperado el 10 de Octubre de 2019, de https://www.ccn-cert.cni.es/soluciones-seguridad/ear-pilar.html

65

MEHARI Es una metodología de evaluación de origen francés, desarrollada por la CLUSIF

(CLUb de la Sécurité de l’Information Français). Esta metodología se diseñó para

ayudar a los responsables de seguridad de la información a reducir riesgos en un

sistema de información.

Objetivos:

Analizar las vulnerabilidades de un sistema de información.

Gestionar y minimizar los riesgos.

Revisar la seguridad de un sistema de información.

Fases:

MEHARI proporciona las indicaciones para crear planes de seguridad, a través de

listas de vulnerabilidades, medidas de control y monitorización de las tareas de

seguridad, esto lo realiza en 4 etapas:

1. Analizar las consecuencias de que una amenaza grave se concrete:

Identificación de las consecuencias graves.

Análisis del impacto en caso que una consecuencia grave se materialice.

2. Analizar las vulnerabilidades:

Identificar las debilidades.

Corregir las debilidades inaceptables.

66

3. Manejar los riesgos:

Medir la posibilidad de que una amenaza se concrete.

Las posibles consecuencias.

Reducir, transferir o mantener el riesgo

4. Monitorización de la seguridad:

Establecimiento de objetivos anuales.

Indicadores para medir el cumplimiento de los objetivos.

Cabe mencionar que MEHARI dispone de una base de datos de conocimientos para

el diagnóstico de las medidas de seguridad y de procedimientos para la evaluación

de los riesgos, y para determinar el nivel de dichos riesgos (bajo, medio, alto).

Para la evaluación de los riesgos MEHARI cuenta con dos opciones:

Utilización de funciones de la base de datos de conocimiento (para Microsoft Office

u Open Office), con estas funciones es posible evaluar el nivel de riesgo y proponer

medidas para la reducción del mismo.

La segunda opción es utilizar un software de nombre RISICARE2, que proporciona

una interfaz que permite simulaciones y visualizaciones de situaciones de riesgo.

(OVH.COM, 2019).

67

2.6 . Metodologías de evaluación de riesgo (cualitativas y cuantitativas)

Existen dos tipos de métodos utilizados para determinar el nivel de riesgos en un

sistema de información.

1. Métodos cualitativos

2. Métodos cuantitativos

Figura 2.6. Métodos para determinar el nivel de riesgo.

Una actividad relevante durante la realización de una evaluación de riesgos consiste

en conocer aquellas amenazas que pueden materializarse, provocando daños, y

que, por lo tanto, deben ser atendidas.

68

La complejidad se presenta cuando es necesario conocer cuáles riesgos deben ser

atendidos primero, y qué parámetros deben ser utilizados para la asignación de

prioridades. En este contexto, generalmente se utilizan dos enfoques para emitir

una valoración: elementos cualitativos o cuantitativos (o bien, una combinación de

ambos), que permitan determinar la severidad de los riesgos identificados.

Evaluación de riesgos cuantitativa

La evaluación cuantitativa tiene como base la utilización de números para realizar

una evaluación, los números pueden representar una estadística, un porcentaje o

una cantidad monetaria.

En el caso de una estadística se pude representar como: Existen en promedio 3

ataques diarios, intentando entrar al sistema con claves incorrectas.

Si se representa como un porcentaje: El 50% del robo de información proviene de

personal interno de la organización.

Si la representación es monetaria puede decirse: Por cada día que la tienda en línea

deje de funcionar se pierden ventas por $100,000.00 pesos.

Para este último ejemplo, se puede utilizar una fórmula para la pérdida potencial.

Para calcular una pérdida potencial, se utiliza la fórmula de Expectativa de Pérdida

Anual (ALE por sus siglas en inglés), esta fórmula se revisará en la siguiente unidad.

El uso de la fórmula (ALE) agrega objetividad a los resultados de la evaluación. Y

muestra la relación costo-beneficio entre el costo de implementar una medida de

seguridad, y la perdida por no utilizarla.

69

Evaluación de riesgos cualitativa

A diferencia de la evaluación cuantitativa, en este tipo de evaluación no se utilizan

números, sino adjetivos para calificar los riesgos, los adjetivos comúnmente usados

son riesgo alto, medio o bajo.

Debido a que cada persona posee un concepto diferente de lo que significa alto,

medio o bajo, la evaluación puede ser subjetiva, y en seguridad informática no se

debe utilizar la subjetividad. Así que el primer paso es definir qué significa cada

término para estandarizare la evaluación.

La evaluación cualitativa es más sencilla de realizar y es más fácil que las personas

entiendan y utilicen términos concretos que porcentajes o estadísticas. El desafío

consiste en definir correctamente los términos a cada riesgo. Esto puede lograrse a

través de una matriz de riesgo.

Veamos un ejemplo de una tienda en línea y realicemos una matriz de riesgo:

La tienda en línea se llamará “puma en línea”, y tiene como su línea de productos,

artículos de vestir deportivos. La tienda en línea tiene un catálogo de todos sus

productos, los cuales se pueden pagar con tarjeta de crédito, y su entrega se realiza

vía una empresa de mensajería.

Del lado técnico, la tienda cuenta con un servidor web donde se aloja el sistema de

la tienda en línea, una línea dedicada para acceso a internet, además de la

utilización de un firewall de hardware y un software antivirus.

La disponibilidad de la tienda en línea, así como la protección de los datos

personales y financieros de los clientes es fundamental para la empresa, por lo que

estos dos factores son importantísimos. De esta manera se realizará la matriz de

riesgo tomando en cuenta estos factores.

70

Se utilizará una escala de 1 a 5 para indicar la prioridad: 5 es la más alta prioridad

y 1, la prioridad más baja.

Se utilizará un valor para el área de impacto utilizando 3 valores:

1. Bajo

2. Medio

3. Alto

La matriz funciona de la siguiente manera, en una columna se determina cuál es la

prioridad del criterio de evaluación, y en la segunda columna, el valor del impacto,

en caso de que una amenaza se concrete, los valores de cada columna de

multiplican y se obtiene una puntuación, por ejemplo:

Criterio de evaluación Prioridad Valor de área

de impacto

Puntuación

Disponibilidad de la tienda

en línea en Internet

5 Alto (3) 15

Seguridad de los datos del cliente 5 Alto (3) 15

Compatibilidad con todos

los navegadores

5 Medio (2) 10

Aceptación de todas las tarjetas

de crédito

3 Medio (2) 6

Puntaje 46

Tabla 2.4. Ejemplo de matriz de riesgo.

Los dos enfoques son útiles, lo importante es que el método elegido permita reforzar

la seguridad.

La correcta utilización de cada método permitirá una adecuada gestión de los

riesgos, para la eliminación o mitigación de las amenazas. (Mendoza, 2015).

71

2.7 . Cálculo de expectativa de pérdida anual (ALE)

Cuál es el impacto desde el punto de vista monetario, si una amenaza se hace

realidad.

Hay una manera de saberlo y es a través de la fórmula para el cálculo de expectativa

de pérdida anual (Annualized Loss Expectancy o ALE por sus siglas en inglés.

Dicha fórmula permite simular el impacto de la concreción de una amenaza en

términos monetarios, esto es, ¿cuál sería la pérdida económica en caso de que una

amenaza se concrete?

La fórmula se calcula de la siguiente manera:

Se multiplica el valor de un evento de pérdida (Single Loss Expentancy SLE) o

expectativa de pérdida individual por su ARO (Anual Rate of Ocurrence) o

expectativa anual de ocurrencia, es decir, la pérdida monetaria por el daño a un

activo en un año. Su fórmula es:

ALE = SLE x ARO

La SLE también se calcula con una fórmula que tiene dos variables.

La primera variable es (Exposure Factor EF) o factor de exposición, la segunda

variable es (Asset Value AV) o valor del activo, la SLE se calcula de la siguiente

manera:

SLE = EF x AV

72

Así que los elementos de la formula son:

ALE: Expectativa de Pérdida Anual

SLE: Expectativa de Pérdida Individual

ARO: Tasa de Ocurrencia Anualizada

EF: Factor de Exposición

AV: Valor del activo

Resumiendo. Para obtener el valor de ALE, se multiplica la expectativa de pérdida

individual, por su tasa de ocurrencia anualizada.

ALE = SLE x ARO

A su vez, SLE es el resultado de la multiplicación de producto entre el factor de

exposición por el valor del activo.

SLE = AV x EF

Entonces la fórmula completa queda así:

ALE = (AV x EF) x ARO

Ahora veamos un ejemplo donde se muestran los pasos necesarios para calcular la

pérdida anualizada:

73

1. Definición del alcance y los activos involucrados

Veamos un ejemplo con un supermercado. Al cual llamaremos “Superpuma”. Dicho

supermercado tiene 10 cajas, y un sistema de información para gestionar su

información.

En este ejemplo se enlista el costo de los activos de hardware y software necesarios

para que el servicio de cajas pueda funcionar.

Alcance Activos Valor Porcentaje

del valor total

Servicio de cajas

Servidor $30,000.00 15%

Software de punto de venta

(instalado en el servidor)

$12,000.00 6%

Red LAN $25,000.00 12.5%

Software de Firewall y Antivirus $23,000.00 11.5%

Software de gestión administrativa y

contable

$110,000.00 55%

Costo Total $200,000.00 100%

Tabla 2.5. Lista de activos de hardware y software.

2. Selección del activo crítico

Para continuar, se selecciona el activo crítico para la operación de la organización,

aunque puede seleccionarse más de un activo, en este caso seleccionaremos el

software de punto de las cajas, es el activo crítico; ya que, si deja de funcionar, los

cajeros no pueden cobrar.

74

Activo critico

Aplicación

Software de punto de venta Ventas promedio al día $200,000 pesos

3. Identificación de amenazas y probabilidad de ocurrencia

Posterior a identificar el activo crítico, se identifican las posibles amenazas. En este

caso lo más conveniente es utilizar datos estadísticos. Para el ejemplo del

supermercado, se pueden utilizar estadísticas de cuántas fallas al año ha sufrido el

sistema de cajas.

En este caso se utiliza un porcentaje de la ocurrencia de la amenaza al año; por

ejemplo, si la incidencia ocurre cada dos años, entonces es 50%.

Amenazas ARO

Infección por virus (1 vez cada 2 años) 50%

Falla eléctrica (1 vez cada 3 años) 33%

Falla en la red LAN (1 vez cada 3 años) 33%

4. Identificación del factor de exposición El factor de exposición es el porcentaje de pérdida para un activo si una amenaza

se concreta. Si la pérdida es completa entonces el porcentaje es 100%.

Factor de exposición Porcentaje

El sistema no cuenta con un Firewall actualizado 30%

El sistema no cuenta con un antivirus actualizado 40%

No se le da mantenimiento a la red LAN 100%

75

5. Cálculo de ALE

En el ejemplo se aplica el cálculo de la pérdida anualizada para la aplicación del

supermercado, considerando sólo la amenaza de infección por virus:

Activo Amenaza VA FE ARO

Software de punto de

venta

Infección por virus (1 vez

cada 2 años)

$12000.00 40% 50%

En el ejemplo se aplica el cálculo de la pérdida anualizada para el servidor de

aplicaciones, considerando sólo la amenaza de infección por virus:

Entonces:

Valor del Activo (AV): $12,000.00

Factor de Exposición (FE): 40% (Porcentaje de pérdida de activo

causada por la amenaza)

Tasa Anualizada de Ocurrencia (ARO): 50% (1 vez cada dos años)

Si aplicamos la fórmula, obtenemos el siguiente resultado:

ALE = (AV x FE) x ARO

ALE = (12000 x 0.4) x 0.5

ALE = 2400

Para obtener mayor precisión, es necesario considerar todas las amenazas. El

resultado final es la suma de los valores de ALE de cada amenaza.

Si el valor final de ALE supera el costo del activo (y en este caso las ventas del

supermercado), es necesario considerar la aplicación de medidas de seguridad,

76

pero si el costo de los controles de seguridad supera el valor del activo, la

implementación no es factible económicamente.

Para que este modelo sea efectivo, es muy importante el juicio de una persona con los conocimientos y experiencia suficientes para darle valor a cada variable de la fórmula.

77

2.8 . Selección de medidas de contención

La selección de las medidas de contención, serán determinadas principalmente por

los factores de:

La matriz de riesgos donde se han definido los activos críticos.

La ALE, porque se puede calcular el costo beneficio de implementar una

medida de seguridad.

Una vez hecho esto se deben elegir las medidas de contención, que sean factibles

desde el punto operativo y económico.

El reto es conseguir un punto intermedio donde se protejan los activos críticos con

los recursos disponibles y sin afectar la operación de la organización.

Supongamos el siguiente ejemplo, un servidor web puede poseer la característica

de confidencialidad baja (ya que toda la información es pública), pero necesita alta

disponibilidad e integridad, para ser confiable.

En contraste, un sistema de planificación de recursos empresariales (ERP. Los

sistemas ERP gestionan la información contable, administrativa, de inventarios, de

compras y ventas de una empresa, y la concentran en una sola base de datos,

ejemplo de estos tipos de software, son SAP, PeopleSoft, Dolibarr, WebErp) es,

generalmente, un sistema que debe cubrir las tres variables de la seguridad

(confidencialidad, integridad y disponibilidad).

78

Las medidas de contención dependerán de si el activo es crítico y si se cuenta con

los recursos para aplicar la medida de contención, esto es, en el caso del servidor

web, se pude elegir utilizar un sistema de energía ininterrumpido.

Pero en el caso del ERP, además del No-break, será necesario utilizar un servidor

espejo, un firewall, realizar respaldos de manera periódica y restringir el acceso al

servidor. La elección de las medidas de contención dependerá del impacto del daño

para la organización y del tipo de sistema de información (Vaca, 2014, pp. 17-35).

79

2.9. Evaluación de medidas de contención

Después de haber identificado las amenazas, y de haber determinado el impacto de

cada amenaza para el sistema de información, y de haber elegido los medios de

contención para mitigar las amenazas, el siguiente paso es evaluar qué tan robustos

son los medios elegidos. Dependiendo de los medios elegidos, la evaluación será

diferente; pero en general se puede evaluar el medio, simulando la concreción de

una amenaza como puede ser una falla en el hardware o software o un ataque

interno o externo.

La evaluación tiene como objetivo detectar fallas de las medidas de contención,

dependiendo de la medida implantada, la evaluación será diferente, pero en general,

en el caso del hardware se debe evaluar:

Seguridad en la alimentación de energía eléctrica.

Seguridad en el funcionamiento de los componentes de hardware.

80

En el caso del software se debe evaluar:

Figura 2.7. Aspectos a evaluar del software.

En el caso de políticas de seguridad:

Figura 2.8. Aspectos a evaluar en el caso de políticas de seguridad.

Las actualizaciones del software.

La robustez en caso de un ataque.

La fortaleza de las contraseñas.

La fortaleza de los algoritmos de encripción.

La debida capacitación de los empleados.

El cumplimiento de las políticas de seguridad.

Establecimiento de responsabilidades.

Establecimiento de procedimientos.

Documentación de las políticas de seguridad.

81

Una vez obtenidos los resultados, se emite un informe, indicando cuáles medidas

funcionan de manera adecuada y cuáles de manera inadecuada.

La pérdida de equipos se valora en términos de costo de reemplazo. Los datos y

activos de software se valoran en términos del impacto que se produciría si la

información fuera a ser robada, destruida, divulgada o modificada. No existen

sistemas 100% seguros, pero sí existen sistemas más seguros que otros, lo que

siempre debe prevalecer es la supervisión y evaluación constante.

El propósito de la evaluación de las medidas de contención es analizar el

funcionamiento, la efectividad y el cumplimiento de las medidas de protección, para

continuar con las mismas prácticas o ajustarlas (Vaca, 2014, pp. 37-42).

82

2.10. Reducción, transferencia y aceptación de riesgos

El objetivo de la gestión de riesgos es reducirlos; sin embargo, existe el impedimento

de no contar con los recursos económicos para implementarlos, no todas las

empresas son capaces de adquirir el hardware y software necesario para aumentar

la seguridad de sus sistemas de información, así que los riesgos que no se pueden

reducir deben ser aceptados o transferidos.

La seguridad tiene un costo, y este costo generalmente es económico, de manera

que el desembolso debe ser costeable y justificado.

Debe existir un equilibrio entre un grado de protección adecuado, y un costo

aceptable, para que las medidas reduzcan las amenazas a un precio razonable.

Ningún software o hardware ofrece seguridad completa, siempre queda un riesgo

restante, el riesgo restante se da por dos circunstancias: Por las amenazas

concretadas y por la aceptación del riesgo.

Amenazas concretadas

Por un lado, están las amenazas que, a pesar de las medidas de seguridad

implementadas, se pueden materializar. Podemos protegernos de los virus

conocidos utilizando un antivirus; sin embargo, cuando surge un virus con

características desconocidas, y el antivirus no lo bloquea, las consecuencias se

harán sentir.

Aceptación del riesgo

La segunda circunstancia es cuando aceptamos el riesgo y sus posibles

consecuencias, la razón para aceptar el riesgo es porque no se cuentan con los

83

recursos para implementar medidas de seguridad, o porque el activo a proteger no

justifica el gasto, o porque no tenemos control sobre el entorno, por ejemplo, si se

utilizan aplicaciones que se encuentran en Internet, siempre se está expuesto a los

virus o crackers.

Reducción de riesgo

La reducción de riesgo se logra a través de la implementación de medidas de

protección, que se basen en los resultados del análisis de riesgo. Las medidas son

las siguientes:

Figura. 2.9. Tipos de medidas para reducción de riesgo.

Las medidas de protección están divididas en medidas físicas y técnicas,

personales y organizativas.

Medidas

Físicas y técnicas

PersonalesOrganizativas

84

Las medidas físicas y técnicas se refieren al hardware, software infraestructura de

telecomunicaciones además de la construcción del edificio donde será alojado el

servidor que contiene al sistema de información.

Las medidas personales se refieren al comportamiento de los empleados que tienen

un involucramiento en la seguridad del sistema de información, esto es, deben

utilizar contraseñas difíciles de recordar, deben poseer la capacitación adecuada

para la utilización segura del sistema de información y deben ser discretos en cuanto

a la información sensible de la organización.

Por último, las medidas organizativas se refieren a las políticas de seguridad de la

empresa, que controlan el uso, protección y resguardo la información sensible de la

organización.

Transferir el riesgo Cuando no es posible mitigar el riesgo, el riesgo se puede transferir a un tercero.

Si se transfiere el riesgo a un tercero, la organización se deslinda parcial o

totalmente del riesgo. ¿Pero cómo se realiza? Veamos ejemplos de cómo transferir

el riesgo.

Ejemplo 1 Una empresa utiliza un servidor web que aloja un sistema de gestión integral,

dicho servidor debe permanecer en línea las 24 horas del día los 365 días del año.

Riesgo: Que el servidor deje de funcionar, o que la conexión a internet se

caiga.

Transferencia del riesgo: Contratar un espacio en disco en un centro de

datos, que garantice la continuidad del funcionamiento del sistema de

información.

85

Ejemplo 2 Una compañía ofrece un servicio de almacenamiento en la nube para particulares,

los clientes pueden almacenar cualquier tipo de archivos.

Riesgo: Que la información sea robada.

Transferencia del riesgo: La empresa no se hace responsable por el robo de

información.

Ejemplo 3 Una empresa realiza el mantenimiento preventivo y correctivo de computadoras

personales en las empresas.

Riesgo: el usuario de los equipos puede perder información, por causa de

virus o un mal funcionamiento de algún programa.

Transferencia del riesgo: El proveedor solo se hace responsable de la

reparación del equipo, no de la recuperación de información.

Al momento de crear un plan de gestión de riesgos, hay que buscar alternativas de

transferencia del riesgo, que incluyen no sólo la transferencia al usuario final del

servicio, sino también a terceros especializados, y a otras entidades que permitan

a la organización tener control sobre aquellos riesgos que no desea mitigar o que

sería muy costoso hacerlo.

86

RESUMEN

La gestión de riesgos se enfoca en la protección y resguardo de la información, en

específico en datos que se encuentran almacenados en un sistema de información.

Para esto existen diversos métodos, que al final determinarán las acciones a seguir,

las cuales pueden ser aceptar el riesgo, eliminarlo, mitigarlo o transferirlo. Al final

no se puede garantizar a 100% la eliminación de riesgos de un sistema de

información, pero sí se pueden minimizar. Para que el daño, si llegare a suceder,

sea mínimo.

87

BIBLIOGRAFÍA DE LA UNIDAD

Bibliografía sugerida

Autor Capítulo Páginas

Alegre Ramos, María Del

Pilar. García-Cervigón

Hurtado, Alfonso.

1. Seguridad Informática.

Introducción a la seguridad

informática

10-11

Vaca, John 21.Network and System Security

Security Monitoring and

Efectiveness

37-42

Vaca, John 21.Network and System Security

Information security from the Ground

Up

17-35

88

UNIDAD 3

ARQUITECTURA Y DISEÑO DE SEGURIDAD

89

OBJETIVO PARTICULAR

Al finalizar la unidad, el alumno identificará la metodología que le permita generar

los mecanismos para asegurar la información.

TEMARIO DETALLADO

(4 horas)

3. Arquitectura y diseño de seguridad

3.1. Arquitectura de computadoras

3.2. Mecanismos de protección

3.3. Modos de seguridad

3.4. Modelos de seguridad

3.5. Guías de evaluación

3.6. Certificación y acreditación

90

INTRODUCCIÓN

En esta unidad se verá el tema de arquitectura de computadoras, que es la

descripción de los elementos de una computadora, así como la interacción entre

éstos; desde el punto de vista de la seguridad de los sistemas de información, es

necesario conocer dichos elementos, ya que algunos pueden ser vulnerables a un

ataque, por ejemplo, el robo de información del disco duro.

Además, se verán los mecanismos que existen para prevenir, detectar o resolver un

ataque al sistema de información; así como los modos de información para

determinar qué información puede verse y cuál no, dependiendo del tipo de usuario

que acceda a la misma. También se verán los modelos de seguridad basados en

políticas, herramientas o equipos de trabajo.

Además, se verá la utilización de guías para la protección de un sistema de

información, pues dicha utilización disminuye las posibilidades de sufrir un ataque

externo y la posibilidad de pérdida de información por un descuido; además, tal

utilización es necesaria para poder certificar que un sistema de información es

seguro, puesto que la certificación da la certeza de que un sistema cuenta con un

nivel de seguridad que impida la pérdida o robo de información.

91

3.1. Arquitectura de computadoras

La arquitectura de computadoras describe los elementos que integran a una

computadora, además muestra cómo interactúan dichos elementos.

Desde el punto de vista conceptual, una computadora se compone de los siguientes

elementos:

Figura 3.1. Elementos de una computadora.

Dependiendo de las características particulares de cada computadora, cada

dispositivo puede variar, pero, en general, son los siguientes:

Como dispositivos de entrada tenemos un ratón, un teclado o una pantalla

touchscreen.

Como dispositivo de salida, tenemos a una pantalla, o unas bocinas.

Como la memoria principal, tenemos a la memoria RAM.

92

Como la memoria secundaria tenemos al disco duro.

Los elementos antes descritos están basados en la arquitectura de John von

Neumann, en referencia al matemático y físico John von Neumann. Las

computadoras actuales están basadas en dicho modelo. Hoy, el uso de

computadoras es algo cotidiano, y esto en parte es gracias al modelo del autor

mencionado, ya que permite la construcción de un hardware al que se le pueden

agregar distintos tipos de programas.

En las primeras computadoras no existía el concepto de un programa almacenado,

las primeras computadoras tenían programas fijos, si se deseaba utilizar un

programa diferente, era necesario construir otra computadora, lo que era un trabajo

arduo.

En cambio, en la arquitectura de von Neumann, dichos programas pueden

almacenarse en un dispositivo de almacenamiento permanente (disco duro); estos

programas, además, pueden realizar operaciones en una memoria temporal (la

memoria RAM), y el resultado de las operaciones pueden almacenarse como

archivos en el disco duro. Todo esto fue el concepto de von Neumann, dicho

concepto fue el inicio de las computadoras modernas.

El modelo define a la computadora como un sistema compuesto por cuatro

subsistemas:

Figura 3.2. Subsistemas de una computadora.

Memoria Unidad

aritmético-lógica.

Unidad de control

Dispositivos de entrada/salida.

93

Figura 3.3. Estructura de Newman.

Elaboración con base en: Frikosfera (2015)

En esta arquitectura, los programas y los datos se almacenan en la memoria

principal, la memoria está dividida en celdas, las cuales tienen una dirección única,

y cada programa se ejecuta de manera secuencial. Las computadoras actuales

siguen utilizando esta arquitectura en su forma básica.

94

3.2. Mecanismos de protección

Los mecanismos de protección, son las herramientas que se utilizan para proteger

el sistema de información de ataques, dichas herramientas pueden ser de hardware

o de software, o una herramienta que utilice ambos elementos. Por ejemplo, un

lector biométrico de huellas digitales, utiliza tanto hardware como software. Pero no

necesariamente tiene que ser hardware o software, también pueden ser políticas de

seguridad, siendo éstas últimas muy útiles, ya que de nada sirve utilizar la última

tecnología en protección informática, si no se usa de manera adecuada, incluso la

protección se puede dar con bajos costos, y de manera efectiva si se utilizan

políticas adecuadas.

Los mecanismos pueden ser de cuatro tipos:

Disuasivos Preventivos Detectores Correctivos

Se encargan de desalentar un ataque o un robo, un ejemplo de esto son las cámaras de seguridad, las personas que intenten robar o dañar información o hardware, saben que son vigilados.

Como su nombre lo indica, son aquellos que buscan prevenir una situación de riesgo. Un ejemplo de esto es instalar las últimas actualizaciones de seguridad del sistema operativo, otro ejemplo es un sistema de energía ininterrumpida, ya que previene un corte de energía eléctrica.

Son mecanismos que detectan amenaza para el sistema de información. Ejemplos de éstos son los antivirus ya que detecta y elimina software malicioso y los firewalls ya que revisan la información que entra a la red.

Los mecanismos correctivos buscan reparar el daño en caso de que un ataque se concrete, ejemplo de esto puede ser la utilización de respaldo para reinstalar el sistema, o la utilización de un servidor espejo que pueda seguir proporcionando el servicio, mientras el primer servidor es reparado.

Tabla 3.1.Tipos de mecanismos de protección. (Aguilera, 2010, p. 17).

95

3.3. Modos de seguridad

Un modo de seguridad es el tipo de información al que puede acceder un usuario o

usuarios, en otras palabras, qué puede ver, y qué no puede ver. Un sistema puede

operar en diferentes modos de seguridad, dependiendo del tipo de información que

almacena un sistema información:

Los niveles son los siguientes:

Figura 3.4: Modos de seguridad.

96

Modo de seguridad dedicado

En este modo los usuarios tienen acceso a toda la información, por ejemplo,

pensemos en una empresa que comercializa productos y utiliza una lista de precios

para los clientes, esta lista de precios está accesible para cualquier persona dentro

de la empresa.

Modo de seguridad elevado

Utilizando el mismo ejemplo de la empresa comercial, los usuarios pueden tener

acceso a cierto tipo de información, por ejemplo, los empleados de mostrador,

pueden tener acceso a los datos generales de los clientes, pero no pueden acceder

a datos financieros, como el monto de sus compras.

Modo de seguridad compartido

En el nivel de seguridad compartido, los usuarios pueden acceder a cierto nivel de

información, pero de acuerdo a su perfil de usuario, esto es, el contador puede ver

información contable, no así el empleado de mostrador, otro ejemplo es que el

responsable de compras solo puede ver el inventario.

Modo de seguridad multinivel

El modo de seguridad multinivel es muy similar al anterior, con la diferencia que

algunos usuarios tienen la autorización de ver más de un tipo de información, por

ejemplo, quizá sea necesario que el contador tenga acceso a la información de

inventarios, este tipo de nivel de seguridad es el más utilizado en el caso de

sistemas de información administrativos (Aguilera, 2010, p. 24).

97

3.4. Modelos de seguridad

Un modelo de seguridad es una pauta para implementar controles de seguridad.

Existen diferentes modelos de seguridad, veamos tres muy importantes para la

seguridad de la información.

Figura 3.5. Modelos de seguridad.

Los modelos basados en políticas de seguridad indican la forma en que los

empleados deben realizar sus actividades, de manera que no comprometan la

seguridad de la información, así como la seguridad de los sistemas de información

y el hardware que la almacena.

Las políticas de seguridad dicen a los empleados cuáles son las prácticas

adecuadas, para evitar vulnerar la seguridad.

Basados en políticas de seguridad.

Basados en herramientas de hardware y software.

Basados en el equipo de trabajo.

98

Un ejemplo de políticas de seguridad puede ser:

No compartir contraseñas.

No dejar escritas las contraseñas y a la vista.

Utilizar un protector de pantalla con contraseña.

Realizar respaldos de información de manera periódica.

Los modelos de seguridad basados en herramientas de hardware y software, como

su nombre lo indica, se valen de las herramientas que ofrece el mercado para

proteger la red, el hardware, el software y los datos. Ejemplo de estas herramientas

son:

Figura 3.6. Herramientas para proteger la red.

El último modelo, se apoya en la adecuada capacitación del personal, además

deben ser motivados a realizar prácticas que no comprometan la seguridad del

sistema de información. Para esto, se les debe capacitar con los cursos necesarios

para realicen su trabajo de manera adecuada y segura (Aguilera, 2010, pp. 20-22).

Antivirus.

Firewalls de hardware y software

No-break

Sistemas espejo

99

3.5. Guías de evaluación

La evaluación de un sistema de información permite saber si el sistema cumple con

ciertos requisitos. Dicha evaluación puede realizarse de acuerdo a los criterios

personales del responsable del administrador del sistema de información. Este

criterio sin duda es útil, pero dicha evaluación será mejor realizada si se sigue un

estándar; en otras palabras, es mejor utilizar como guía un estándar. La utilización

de un estándar no garantiza a 100% la seguridad de un sistema de información,

pero indudablemente los riesgos serán menores.

En el caso concreto de la seguridad de los sistemas de información, los estándares

son útiles; ya que definen los pasos a seguir, para mejorar la seguridad de un

sistema de información; además, ayudan a la certificación de la seguridad en un

sistema de información.

Una de las organizaciones más conocidas en cuanto estándares, se refiere es la

organización ISO (International Standards Organization); la cual cuenta con una

especificación para la seguridad de los sistemas ISMS (Information Security

Management System), la cual se puede implantar de manera independiente de las

tecnologías de información, esto es importante para no atarse a un proveedor o a

una tecnología. El título de dicho estándar es:

Information Technology Security Techniques Information Security Management

Systems Requirements. ISO 27001.

El documento está formado por los siguientes capítulos:

ISO/IEC 27000 – Introducción y vocabulario.

ISO/IEC 27001:2005 – Requerimientos para un ISMS.

ISO/IEC 27002:2005 – Code of Practice for Information Security.

100

ISO/IEC 27003 – Guía de implementación de un ISMS.

ISO/IEC 27004 – Information Security Management Measurement.

ISO/IEC 27005 – Information Security Risk Management.

ISO/IEC 27006 Requerimientos para la auditoría y certificación de sistemas de

gestión de la seguridad de la información.

Como puede verse, el estándar cubre diversos aspectos para la gestión de

seguridad de un sistema de información.

La ISO/IEC 27001 incorpora el PDCA (Plan-Do-Check-Act) que significa "Planificar-

Hacer-Controlar-Actuar" veamos en qué consiste.

Plan (planificar): En esta parte se realiza la evaluación de los riesgos y se

seleccionan las medidas que los mitiguen.

Do (hacer): En esta parte se implantan las medidas seleccionadas.

Check (controlar): En esta parte se evalúan las medidas seleccionadas.

Act (actuar): En esta parte se corrigen los errores detectados.

Al seguir el PDCA se realiza una adecuada evaluación de la seguridad del sistema

de información.

Seguir un estándar como guía, permite una adecuada evaluación de la seguridad

del sistema de información, con el próximo objetivo de la certificación y la

acreditación (Calder, 2010, pp. 16-21).

101

3.6. Certificación y acreditación

La certificación y la acreditación son dos procesos que contribuyen a mejorar la

seguridad de un sistema de información, son dos conceptos que pueden parecer lo

mismo, pero tienen sus diferencias.

La certificación es el procedimiento mediante el cual un organismo otorga una

garantía por escrito, en otras palabras, un certificado de que un producto, o un

servicio cumple con ciertos requisitos y con el estándar, para poder emitir un

certificado.

Ahora bien, la acreditación es el procedimiento que evalúa la eficacia de una

organización al realizar una actividad; esto es, una organización decide acreditar las

actividades que realiza, con el objetivo de realizarlas de manera correcta, al igual

que en caso de la certificación, es necesario que una entidad externa acredite que

la organización realiza sus actividades de una manera adecuada.

Las diferencias entre la certificación y la acreditación son las siguientes: La

certificación determina si el producto o servicio fue realizado de acuerdo a un

estándar. La acreditación es un proceso que determina si la organización realiza

sus actividades con eficacia.

Ahora bien, en el caso de la seguridad en los sistemas de información, la

certificación determina si un sistema de información fue implementado de acuerdo

a un estándar de seguridad. Y eso es lo que una organización busca principalmente.

La acreditación no es algo que una organización busque de manera primordial, ya

que la acreditación permitiría a dicha organización certificar a otras entidades.

102

En el caso de los sistemas de información, la ISO es una de las entidades más

importantes en el desarrollo de estándares de seguridad, la cual está acreditada

para realizar certificaciones de seguridad.

Otra entidad involucrada en la seguridad de los sistemas de información es la

Comisión Electrotécnica Internacional, en inglés: IEC (International Electrotechnical

Commission), la cual es una organización de normalización en las áreas de la

electricidad y la electrónica.

Los principales estándares relacionados con la seguridad de la información y la

certificación de los productos tecnológicos han sido desarrollados por la ISO y el

IEC. Los estándares más conocidos a nivel internacional son los siguientes:

ISO/IEC 13335: Guidelines for Management of Information Technologies Security

(Guías para la Gestión de la Seguridad) Estándar para la gestión de riesgos en

sistemas de información y redes.

ISO/IEC 15408: Common Criteria, (Criterios Comunes). Criterios Comunes para la

evaluación de productos de seguridad.

ISO/IEC 21827: Systems Security Engineering (Ingeniería de la Seguridad de los

Sistemas) Evaluación de los procesos relacionados con la gestión de la seguridad.

ISO/IEC 17799 (BS-7799): Information Security Management (Gestión de la

Seguridad de la Información) Estándar que define buenas prácticas mediante el uso

de controles para mejorar la gestión de la seguridad.

ISO/IEC 27001: Information Security Management Systems Requirements

(Requisitos para los Sistemas de Gestión de Seguridad de la Información), Estándar

que permite certificar la implantación de un sistema de gestión de la seguridad de

la Información.

Proceso de certificación

El proceso de certificación debe ser realizado por una entidad externa y acreditada.

La certificación es un reconocimiento a las buenas prácticas de la gestión de la

seguridad de la información.

103

El proceso de certificación consta de dos etapas:

La consultoría

Un consultor o consultores ayudarán a la organización a cumplir con los requisitos

de certificación, como las políticas de seguridad, la adecuada utilización de las

herramientas de seguridad, la utilización de procedimientos adecuados, etc. Y si

fuere el caso habrá que realizar ajustes en la gestión de la seguridad de la

información.

La auditoría

Un auditor de un organismo acreditado, se encargará de revisar los procedimientos

de la gestión de la seguridad, para determinar si cumplen con la norma. (von Solms,

2009, pp. 58-59)

104

RESUMEN

La seguridad de los sistemas de información y de los equipos de cómputo es un

tema de suma importancia, pues en un sistema de información se aloja información

sensible que solo debe ser utilizada por las personas autorizadas y capacitadas

para su utilización. Además, dicha información debe estar alojada en equipos

seguros, y si sucediera un evento inesperado, se debe contar con los mecanismos

para la recuperación de la misma.

La adecuada implementación de mecanismos de seguridad, y el seguimiento de

estándares disminuyen los riesgos y hace más robustos a los sistemas, ante las

amenazas externas o internas, y a los ataques de delincuentes.

Cabe destacar que la seguridad de los equipos en la actualidad, se ve

comprometida debido al uso de Internet, en la actualidad es prácticamente imposible

que un sistema de información no utilice la red de redes, y debido a que Internet es

una red pública, es una red insegura, ya que cualquier persona, en cualquier parte

del mundo, puede acceder a ella sin restricciones, por lo que es importante utilizar

mecanismos preventivos y correctivos de manera adecuada; además de

implementar adecuadas políticas de seguridad, y de seguir las recomendaciones

que dicta un estándar de seguridad y, por último, mas no menos importante,

capacitar al personal de manera adecuada para que realice sus actividades en el

sistema de información de manera segura.

Todas estas medidas harán que un sistema de información sea más seguro, y

aunque la utilización de estas recomendaciones no garantiza la seguridad a 100%,

el sistema será mucho más seguro que si no se utilizan.

105

BIBLIOGRAFÍA DE LA UNIDAD

Bibliografía sugerida

Autor Capítulo Páginas

Aguilera, Purificación 1. Seguridad Informática.

Introducción a la seguridad

informática

17

Aguilera, Purificación 1 Seguridad Informática.

Introducción a la seguridad

informática

24

Aguilera, Purificación 1 Seguridad Informática.

Introducción a la seguridad

informática

20-22

Calder Alan, Watkins, G Steve 1 Information Security Risk

Management for

ISO27001/ISO27002.

Risk Management

16-21

Von Solms, S.H., Von Solms R. 5. Information Security

Gobernance.

The use of best practice

standards and guidelines in

information security

gobernance

58-59

106

UNIDAD 4.

CRIPTOGRAFÍA

107

OBJETIVO PARTICULAR

Al finalizar la unidad el alumno conocerá las diferencias técnicas y algoritmos de

cifrado para que la información viaje de forma segura, así como los diferentes

mecanismos del criptoanálisis.

TEMARIO DETALLADO

(10 HORAS)

4. Valoración de la información en la organización

4.1. Introducción a la criptografía

4.2. Historia de la criptografía

4.3 Tipos de cifrado

4.4 Métodos de cifrado

4.5 Algoritmos criptográficos de clave privada

4.6 Algoritmos criptográficos de clave privada

4.7. Ventajas de la criptografía

4.8. Aplicaciones de la criptografía

4.9. Ataques

108

INTRODUCCIÓN

Si vamos al origen de la palabra criptografía, ésta proviene del griego "kryptos" para

lo oculto o escondido y "graphia", que es la cualidad de grabar o escribir. Si

buscamos el significado de la palabra en la Real Academia Española (RAE),

encontramos: "Arte de escribir con clave secreta o de un modo enigmático".

En términos informáticos, la criptografía es un conjunto de técnicas que nos

permiten ocultar nuestra información para quienes no deseemos que la vean,

dándole una capa de protección adicional; por lo que nos permite cifrar datos,

información o archivos, para que aun cuando los roben de alguna forma, éstos sean

incomprensibles, ilegibles e indescifrables, sin posibilidad de que personas no

autorizadas hagan su lectura, escritura, modificación o divulgación. El verbo que

usaremos para el uso de estas técnicas es cifrar.

La criptografía también puede usarse para proteger el acceso o el uso no autorizado

a un sistema informático o bien a los recursos de una red, previniendo que se le

deniegue el acceso de esos servicios a usuarios que no tengan una debida

autorización.

109

4.1. Introducción a la criptografía

Si pensamos en un texto, la criptografía transforma las letras que conforman el

mensaje en una serie de números (en forma de bits debido a que los equipos

informáticos usan el sistema binario) y luego realizar cálculos con estos números

para modificarlos y hacerlos incomprensibles. El resultado de esta modificación se

llama texto cifrado, en contraste con el mensaje inicial, que es un texto plano o

simple. Por otro lado, es necesario garantizar que el receptor del mensaje pueda

descifrarlo cuando lo reciba para poder entenderlo.

Entonces la criptografía funciona en los conceptos de cifrado y descifrado, los

cuales no deben confundirse con los conceptos de codificación y decodificación,

donde los datos se convierten de una forma a otra, pero no se modifican para ocultar

su contenido.

La encriptación se logra a través de los algoritmos, los cuales utilizan cálculos

matemáticos.

Con el intensivo uso de las redes, ha aumentado el uso de los sistemas

criptográficos porque como puede llegar a haber intercepciones de los paquetes

que viajan en la red, si un mensaje se envía en texto plano y es interceptado, los

paquetes podrían leerse tal como se han escrito y alguien poseería información que

no debería, la cual podría ser desde algo tan trivial como un correo electrónico hasta

algo más comprometedor como nuestros datos para realizar una transacción

financiera.

Hay muchos sistemas que permiten ocultar lo que escribimos, algunos muy

sofisticados y otros sencillos de descubrir en pocos intentos.

110

4.2. Historia de la criptografía

Como hace referencia Sigh (2000, pp. 11-59) en su libro Los códigos secretos, la

criptografía es tan antigua como la escritura, su uso regular se documenta en la

Edad Media con los árabes y en Europa en el Renacimiento.

Los siguientes tipos de cifrado que comenta Sigh son algunos ejemplos utilizados

en la antigüedad.

En el siglo V a.C. se usaba por los éforos espartanos una escítala para el envío de

mensajes secretos, la cual estaba formada por dos varas que tenían un grosor

variable y una tira de cuero o papiro. Se enroscaba el cuero o papiro y se escribía

el mensaje e forma longitudinal, luego se desenrollaba el cuero y quedaba a la

lectura como letras sin significado. Sólo podía desencriptarse la información con

una vara del mismo diámetro que la original sobre la que se escribió.

Escítala espartana Elaboración con base en: (s/a). (s/f). Encriptados” Recuperado el 21 de febrero de 2019 de

https://encriptados.wordpress.com/fotografias/

El cifrado Polybios se utilizó en el siglo II a.C. en la antigua Grecia usando el

alfabeto griego, pero se ha adaptado a otros alfabetos. La forma de utilizarse es

colocando las letras del alfabeto en una matriz que puede ser de 5x5, y colocando

tanto en las cabeceras de las columnas como de los renglones letras o números.

111

Si utilizamos el alfabeto en español, sin contar la Ñ y juntando I con J, tenemos

como resultado una matriz del estilo que se muestra abajo, y a partir de ella ciframos

el mensaje.

A B C D E

A A B C D E

B F G H I J K

C L M N O P

D Q R S T U

E V W X Y Z

Ejemplo: CRIPTOGRAFIA sería ACDBBDCEDDCDBBDBAABABDAA

Para descifrarlo, se toman las letras de dos en dos números en donde hacen cruce,

por ejemplo, la palabra criptografía usando la tabla de arriba, se traduce en lo

siguiente: C=AC, R=DB, I=BD, P=CE, y así sucesivamente cada letra, hasta dar

como resultado ACDBBDCEDDCDBBDBAABABDAA. Algunas variantes usan

números o bien una combinación de letras y números.

El cifrado César se utilizó en el siglo I a. C.; Julio César lo usó para enviar órdenes

a sus generales al campo de batalla. El cifrado se realizaba escribiendo el mensaje

con el alfabeto desplazado tres posiciones a la derecha. Usando el alfabeto en

español el sistema quedaría de la siguiente forma, por ejemplo, cifrando la palabra

criptografía: c=f (movido tres posiciones, como se presenta en el alfabeto cifrado),

r=U, i=l, y así sucesivamente hasta obtener fulswrjudild.

112

Alfabeto

normal

A B C D E F G N I J K L M N Ñ O P Q R S T U V W X Y Z

Alfabeto

cifrado

D E F G H I J K L M N Ñ O P Q R S T U V W X Y Z A B C

Ejemplo: CRIPTOGRAFIA sería FULSWRJUDILD

113

4.3. Tipos de cifrado

Cifrado por transposición

Consiste en crear el texto cifrado simplemente desordenando las unidades que

forman el texto original; los algoritmos de transposición reordenan las letras, pero

no las disfrazan.

Ejemplo: escítala.

Cifrado por sustitución

Consiste en sustituir las unidades del texto original por otras; Los algoritmos de

sustitución y los códigos, preservan el orden de los símbolos en claro, pero los

disfrazan.

Ejemplo: Polybios.

Cifrado simétrico

Para hacer una contextualización de su funcionamiento, piensa que vas a proteger

las puertas de tu casa, las cuales tienen obviamente cerraduras. Las cerraduras

requieren de la misma llave para abrir o cerrar la puerta; sabemos que hay una gran

variedad de chapas, algunas ofrecen más seguridad que otras y de forma similar

existen algoritmos de cifrado simétrico que ofrece más seguridad que otros.

Este tipo de cifrado sólo utiliza una clave para cifrar y descifrar el mensaje; tanto el

emisor como el receptor conocen previamente esa clave o llave, y este es su punto

débil, ya que, al hacer la comunicación de las claves entre ambos, puede llegar a

interceptarse esa llave, dejando vulnerable el proceso de comunicación.

114

Cifrado y descifrado de mensaje Elaboración con base en: (s/a). (s/f). U6.3 Esquema general de un sistema de cifrado simétrico.

Este cifrado puede realizarse electrónicamente o incluso de forma manual, por

ejemplo, creando un código de cifrado sencillo, como a=1, e=2, i=3, etcétera, y luego

cambiar el texto de un mensaje reemplazando las letras y números por su

correspondencia en el código creado.

Ejemplo: la máquina Enigma.

Máquina enigma. La máquina Enigma usada por los nazis que un hombre halló en un mercado de

pulgas y se subastó por miles de dólares.

115

Cifrado asimétrico

Utiliza dos claves o llaves: una pública que se puede difundir a las personas que

necesiten enviar algún texto cifrado y una privada que no debe conocerse. Así, si

deseamos que alguien nos envíe un archivo cifrado, debemos enviarle nuestra clave

pública, la cual está vinculada a la privada, y al enviarnos el archivo podremos

descifrarlo con la clave privada.

Aunque se conoce la clave pública y de ahí se genera la privada, a través de

complejos algoritmos se garantiza que esa clave sea segura al tener un tamaño

grande de bits, lo cual garantiza su fortaleza.

Si se desea tener una comunicación bidireccional se debe seguir el mismo proceso

teniendo dos pares de llaves, una para cada emisor -receptor.

Este tipo de cifrado suele utilizarse al escribir correos electrónicos para que no

puedan ser leídos por terceros.

La gran desventaja que los algoritmos de cifrado asimétrico es que son muy lentos,

por lo que se pensó en una criptografía que tomara lo mejor de ambos tipos.

Cifrado híbrido

Ramos (2004: 255) define a este tipo de cifrado como el que aprovecha las ventajas

del simétrico y el asimétrico, conociendo que el primero es inseguro y el segundo

es lento.

116

Para enviar un mensaje o archivo con este sistema, seguimos los siguientes pasos:

Se genera una clave pública y otra privada para el receptor.

Se cifra el archivo de forma síncrona.

El receptor envía su clave pública al emisor.

Se cifra la clave que usamos para encriptar el archivo con la clave pública

del receptor.

Se envía el archivo cifrado (síncronamente) y la clave del archivo cifrada

(asíncronamente y sólo la puede ver el receptor).

Funciones hash

Ramos (2004: 424) indica que, para garantizar la autenticidad, se cifra el mensaje

con una llave privada. Si extraemos una pequeña cantidad de información que

dependa del mensaje, eso nos asegura que cuando cambie el mensaje, cambiará

también la porción de información.

Si el mensaje es auténtico se tendrá el mismo resultado de la función de resumen y

se compara con el resumen descifrado con la llave pública, si son iguales se

garantiza que el mensaje es auténtico (lo envió quien dice enviarlo) y es íntegro (no

se modificó), así como si no son iguales puede suceder alguna de dos situaciones:

el mensaje no lo envió quien dice enviarlo (no es auténtico) o alguien modificó el

mensaje en el camino, por lo que en cualquiera de los dos casos no se puede confiar

en esa información.

Ese tipo de funciones se llaman de resumen o de hash, y son operaciones que se

aplican al mensaje para extraer una pequeña parte de él, así que al cambiar el

mensaje cambiará el resultado de la operación, incluso aunque el mensaje cambie

poco, el resultado cambiará bastante.

Al proceso de utilizar la función de resumen y aplicarle cifrado asimétrico con la llave

privada se le llama firma digital o firma electrónica.

117

4.4. Métodos de cifrado

El Estándar de Cifrado de Datos (DES por sus siglas en inglés Data Encryption

Standard) es un algoritmo de encriptado simétrico que cifra y descifra datos

utilizando bloques de 8 bytes y una clave de 64 bits, un tamaño que es pequeño

para la actualidad.

Triple DES (3DES) es una variante que utiliza claves de 64 bits para una clave de

192 bits. DES3 cifra en primer lugar el texto plano utilizando los 64 primeros bits de

la clave, luego el texto cifrado se descifra utilizando la siguiente parte de la clave. Al

final, el texto cifrado resultante se vuelve a cifrar utilizando la última parte de la clave.

El Estándar de Cifrado Avanzado (AES por sus siglas en inglés Advanced

Encryption Standard) es un algoritmo de cifrado por bloques utilizado por el gobierno

de los Estados Unidos como un estándar.

Dos modalidades de cifrado son:

Modalidad de secuencia, método de cifrado en el que se cifra cada byte

individualmente. Por lo general se le considera un cifrado débil.

Modalidad de bloques, método de cifrado en el que el mensaje se divide en

bloques y el cifrado se realiza individualmente en cada bloque.

AES se basa en distintas sustituciones, permutaciones y transformaciones lineales,

y cada una es ejecutada en bloques de datos de 16 bytes. Esas operaciones se

repiten varias veces en "rondas" y durante cada ronda se calcula una clave circular

única a partir de la clave de cifrado, incorporándola a los cálculos. Se basa en la

estructura de bloques de AES con cambio de un solo bit, ya sea en la clave o en el

bloque de texto sin cifrado, dando como resultado un bloque de texto cifrado

completamente distinto.

118

La diferencia entre AES-128, AES-192 y AES-256 es la longitud de la clave, de 128,

192 o 256 bits, respectivamente, con lo que este estándar es el preferido de

gobiernos, bancos y sistemas con necesidades de alta seguridad.

En su libro “Fundamentos de seguridad en redes: aplicaciones y estándares”,

Stallings (2003, p. 81) indica que RSA (siglas de los apellidos de sus creadores

Rivest, Shamir y Adleman), es un sistema de cifrado asimétrico muy utilizado,

trabaja con dos claves distintas: una pública y una privada, la cual no puede

calcularse a partir de la pública como en la mayoría de los sistemas asimétricos.

La seguridad de RSA se basa principalmente en el problema matemático de la

factorización entera, y un mensaje que está a punto de ser cifrado se trata como un

gran número. Al cifrar el mensaje, se eleva la fuerza de la llave y se divide con el

resto por un producto fijo de dos primos. Repitiendo el proceso con la otra clave, el

texto sin formato se puede recuperar de nuevo. Un método para romper este cifrado

requiere factorizar el producto utilizado en la división, pero por ahora no es posible

calcular estos factores para números mayores de 768 bits, por lo que los

criptosistemas modernos utilizan una longitud mínima de 3072 bits para la clave.

A la vez, Stallings (2003, p. 43) también hace mención de Blowfish, que es un

cifrado de bloques de datos de 64 bits (8 bytes) que utiliza una clave de tamaño

variable. Regularmente las claves de 128 bits (16 bytes) se utilizan para un cifrado

fuerte.

119

4.5. Algoritmos criptográficos de clave privada

En esta familia se encuentra el conjunto de algoritmos diseñados para cifrar un

mensaje utilizando una única clave conocida tanto por el emisor como por el

receptor de un mensaje, de manera que sólo pueda descifrarse si se conoce esa

clave secreta. Algunas características son:

No se puede obtener el mensaje original ni la clave que se ha utilizado a partir

del mensaje cifrado, aun cuando se conozca el algoritmo criptográfico

utilizado.

Se utiliza la misma clave para cifrar el mensaje original que para descifrar el

mensaje codificado.

Emisor y receptor deben haber acordado una clave común por medio de un

canal de comunicación confidencial antes de poder intercambiar información

confidencial por un canal de comunicación inseguro.

Los algoritmos simétricos más conocidos son: DES, 3DES, RC4, RC5, IDEA,

Blowfish y AES.

RC4 es un algoritmo de cifrado de flujo con tamaño de clave variable y operaciones

a nivel de byte. Es de rápida ejecución en software y se emplea para la encriptación

de archivos o bien la comunicación en protocolos como el SSL /TLS.

RC5 aplica operaciones XOR sobre los datos, que pueden ser de 32, 64 o 128 bits.

Permite diferentes longitudes en la clave y un número variable de iteraciones,

aumentando exponencialmente la seguridad del cifrado cuando el número de

iteraciones es mayor.

120

Ortega (2005, p. 42) también describe IDEA (por sus siglas en inglés de

International Data Encriptión Algorithm), que aplica una clave de 128 bits sin paridad

a bloques de datos de 64 bits. Se realiza una secuencia de iteraciones

parametrizadas alterando los datos de entrada, produciendo bloques de salida de

texto cifrado de 64 bits. IDEA combina operaciones matemáticas como XOR, sumas

con acarreo de módulo 2¹⁶ y multiplicaciones de módulo 2¹⁶+1, sobre bloques de 16

bits, lo que lo hace muy resistente ante un ataque de fuerza bruta, ya que sería

necesario probar 1038 claves.

121

4.6. Algoritmos criptográficos de clave pública

Tal como menciona Stallings (2003, p. 71), un cifrado de clave pública (también

llamado asimétrico) utiliza una pareja de claves, pública y privada, en donde una se

usa para cifrar (emisor) y la otra para descifrar (remitente).

Ambas claves están relacionadas por un algoritmo, es decir una función

matemática. Las claves se calculan usando la función y la inversa de ésta, pero la

función inversa es una función sumamente compleja, con lo que resulta bastante

difícil o casi imposible de calcular para hacer el descifrado de una manera sencilla.

Cada participante en un sistema de claves públicas posee un par de claves; la clave

privada se mantiene secreta y la pública se distribuye a quien la desee. Cualquier

usuario puede cifrar un mensaje utilizando su clave pública, pero sólo a quien dirige

el mensaje es quien puede leerlo utilizando su clave privada.

De forma parecida, puede cifrar un mensaje para cualquier otro utilizando su clave

pública y, a continuación, descifrándola utilizando su clave privada. Entonces podrá

enviar el mensaje de forma segura a través de una conexión no segura.

Diffie-Hellman Key Exchange es un protocolo para realizar el intercambio de

claves. No es un cifrado, se creó para solucionar el problema de los cifrados de

clave privada (o simétricos) en el intercambio de claves.

RSA se basa en un problema matemático de factorización de números primos y es

un algoritmo de cifrado asimétrico o de clave pública, que ha pasado a ser de los

más utilizados actualmente; ya que la mayor parte de los sitios hoy corren sobre

SSL/TLS (Secure Socket Layer / Transport Layer Security), permitiendo la

122

autenticación mediante este algoritmo. RSA cifra y descifra información, así como

provee servicios de autenticación e integridad, mediante lo que se conoce como

infraestructura de clave pública.

DSA es el algoritmo de firma digital (DSA por sus siglas en inglés Digital Signature

Algorithm) que emplea un algoritmo de firma y cifrado. Fue propuesto por el National

Institute of Standards and Technology (NIST) en 1991 y fue adoptado por los

Federal Information Processing Standards (FIPS) en 1993 y desde entonces ha

tenido varias revisiones. Ofrece el mismo nivel de seguridad que RSA.

Criptografía con curvas elípticas es parte de estándares industriales. Utiliza

criptosistemas basados en el problema del logaritmo discreto, como los de tipo

ElGamal, que se plantean en el grupo de puntos de una curva elíptica y garantizan

la misma seguridad que los construidos sobre el grupo multiplicativo de un cuerpo

finito con longitudes de clave menores. Se utiliza en sistemas de votación

electrónica, tarjetas inteligentes, identificación por radio frecuencia, entre otros.

Claves públicas y privadas

123

4.7. Ventajas de la criptografía

Tanto el cifrado simétrico como el asimétrico tienen ventajas y desventajas, y

conocerlas puede hacer que nos decidamos por utilizar uno u otro. (Stallings, 2003,

p. 59) menciona algunas:

Ventajas del cifrado simétrico

Es muy sencillo de utilizar.

Muy conocido y utilizado por los desarrolladores, sólo utiliza una clave.

Es rápido y utiliza menos recursos informáticos que otros tipos de cifrado.

Si se utilizan distintas claves compartidas para varias personas, cuando una

clave está comprometida sólo una persona se verá afectada, en lugar de

todos.

Se utiliza en el cifrado de mensajes.

Se garantiza la confidencialidad y la integridad.

Ventajas del cifrado asimétrico

Es un cifrado seguro.

Maneja un número de claves reducido, ya que cada persona sólo necesita

un par de claves.

No se requiere transmitir la clave privada entre el emisor y el receptor.

Se pueden firmar documentos, certificando la identidad del emisor, firmando

con la clave privada y verificando la identidad con la clave pública.

Se utiliza en el cifrado de mensajes, firma digital e intercambio de claves.

Se garantiza la confidencialidad, la integridad, el no repudio y la autenticidad

del origen.

124

4.8. Aplicaciones de la criptografía

La criptografía es una disciplina con una creciente cantidad de aplicaciones, porque

se ha acrecentado la necesidad de asegurar todo tipo de comunicaciones,

mensajes, archivos, sistemas, etcétera. Algunas aplicaciones que menciona

(Stallings, 2003) de forma más detallada son:

Seguridad en redes. Establece un canal seguro de comunicación con este

tipo de cifrado, ya que, al no enviar datos en texto plano, aunque haya

intercepciones en el canal, los paquetes interceptados no podrán leerse tal

como fueron escritos.

Autenticación de usuarios. Con la criptografía y las firmas digitales se puede

identificar que el usuario, quien se trata de autenticar en un sistema, es o no

es quien dice ser.

Transacciones que involucren movimientos de dinero. Tanto el comercio

como la banca electrónica deben hacer uso de la criptografía, ya que deben

usarse canales seguros y cifrados al hacer el envío de información crítica de

los usuarios y de las transacciones que realizan.

Pensemos en el siguiente caso: en una red insegura debemos asegurar la identidad

de sus usuarios, que la información a la que tenemos acceso no ha sido modificada

por terceros y que la información que enviamos no pueda ser leída por personas no

autorizadas. Si navegamos por una página web en donde tenemos que colocar

nuestro nombre de usuario y contraseña, ¿cómo podemos asegurar que un

atacante no verá los datos que mandemos a esa página web?

Es necesario establecer mecanismos que garanticen la confidencialidad de la

comunicación, por lo que para este caso debemos asegurar que la información que

viaje en la red se cifre, y que, aunque sea interceptada, el atacante no pueda

entenderla. Hay protocolos de comunicación seguros que cifran los datos que

transportan, como SSH, HTTPS que utiliza SSL y TLS.

125

4.9. Ataques

El criptoanálisis trata de descifrar comunicaciones encriptadas sin conocer las llaves

correctas. Existen muchas técnicas criptoanalíticas que son en realidad ataques a

los distintos algoritmos, como los menciona Stallings (2003, p. 5):

Ataques a textos cifrados (Ciphertext-only attack)

En este ataque el atacante no conoce el contenido del mensaje y debe trabajarlo

desde el texto cifrado. Correos y documentos ordinarios comienzan de manera

previsible. Algunos muchos ataques utilizan "análisis frecuencial" del texto cifrado,

pero no funciona bien cuando se usan cifrados modernos.

Ataques de texto plano conocidos

El atacante conoce o adivina el texto original de alguna parte del texto cifrado y trata

de descifrar el resto del bloque cifrado con esa información. Puede determinar qué

clave fue utilizada para encriptar la información. El criptoanálisis lineal es de los

mejores ataques de texto plano en la actualidad y se usa contra cifradores de

bloques.

Ataques de texto plano seleccionado

El atacante puede tener cualquier texto encriptado con una llave desconocida y su

objetivo es determinar la llave con la que se encriptó la información. Un ejemplo de

este ataque es el criptoanálisis diferencial que puede aplicarse a cifradores de

bloques o en funciones Hash. RSA es vulnerable a este tipo de ataques.

Ataque de hombre en medio (MIM por sus siglas en inglés, Man in the Middle).

Este ataque se realiza a las comunicaciones criptográficas y a protocolos de

intercambio de llaves. Se lleva a cabo cuando dos partes intercambian llaves por

comunicaciones seguras y un intruso se posiciona en la línea de comunicación entre

ellos, interceptando lo que se envían y ejecutando un intercambio de llaves entre

126

ellos. Las dos partes terminarán utilizando llaves conocidas por el atacante, con lo

que podrá más tarde desencriptar cualquier comunicación entre ellos, y aunque

pensarán que su comunicación es segura, el intruso será capaz de revisar todos

sus envíos. Para prevenir este ataque se debe utilizar un sistema de clave pública

capaz de proveer firmas digitales, donde ambas partes conozcan de antemano la

clave pública de cada uno, y después de que se generan, las partes se envían firmas

digitales. El hombre en medio falla en el ataque porque no es capaz de falsificar las

firmas sin conocer las llaves privadas utilizadas para generar las firmas.

Ataques contra el hardware

En los últimos años se han estado utilizando dispositivos pequeños de criptografía,

con lo que ha surgido una categoría de ataques que ataca las implementaciones de

hardware de los criptosistemas. Los ataques utilizan datos que se obtienen del

dispositivo criptográfico, como información de la encriptación y de la llave. Por

ejemplo, el atacante adivina algunos bits de la clave y trata de verificar la exactitud

de lo adivinado estudiando la correlación contra lo que él adivinó.

Algunos ataques utilizan el cronometraje del dispositivo, medidas del consumo de

energía, así como patrones de radiación para obtener la llave secreta u otro tipo de

información almacenada en el dispositivo.

Fallas en los criptosistemas

Aprovechar fallas en los criptosistemas puede llevar a descubrir la llave secreta.

Algunos algoritmos se comportan de forma inesperada con la introducción de una

pequeña falla en el cálculo interno; por ejemplo, la implementación de una operación

de llave privada RSA es susceptible a ataques de fallas y si se provoca un bit de

error en el punto adecuado se puede revelar la factorización del módulo, con lo que

queda vulnerable la llave privada.

127

Criptoanálisis diferencial

Este ataque se realiza sobre algoritmos de cifrado por bloques iterativos, es un

ataque a un texto plano elegido que se basa en el análisis de la evolución de las

diferencias de dos textos planos relacionados que se han encriptado con la misma

clave. Analizando los datos disponibles se asignan probabilidades a cada una de

las claves posibles.

Criptoanálisis lineal

Este es un ataque a un texto plano conocido que usa una aproximación lineal para

describir el funcionamiento del algoritmo. Si se cuenta con varios pares de texto

plano y cifrado, se pueden obtener datos sobre la clave.

Explotación de claves débiles

Hay algoritmos en los que se pueden encontrar claves que se comporten de modo

especial, dando origen a ciertas regularidades en la encriptación o un bajo nivel de

encriptación. Si el número de claves débiles es pequeño no es de importancia, pero

si el algoritmo tiene muchas de estas claves, es fácil que llegue a verse

comprometido.

Ataques de correlación

Intentan recuperar parte de una secuencia de cifrado que ya se haya empleado.

Dentro de estos ataques hay una clase que podemos denominar “divide y vencerás”

en donde debe encontrarse un fragmento característico de la secuencia de cifrado

y atacarla con algún método de fuerza bruta, comparando las secuencias generadas

con la secuencia de cifrado real. Este método lleva a lo que se conoce como ataques

de correlación y ataques de correlación rápidos.

Algoritmos de resumen de mensajes

Las funciones de dispersión deben tener dos propiedades esenciales para la

criptografía: deben ser funciones de una sola dirección y no presentar colisiones. El

128

ataque por fuerza bruta selecciona aleatoriamente entradas del algoritmo y busca

alguna que dé el valor buscado (la función no es de una sola dirección) o un par de

entradas que generen la misma salida (la función tiene colisiones).

129

RESUMEN

La finalidad de la criptografía es permitir la transmisión de información secreta por

un canal público.

Contar con una comunicación segura es de gran interés actualmente, ya que han

crecido el número de ataques y cada vez somos más intercambiando información

por Internet, que es una red pública al alcance de cualquier persona desde

prácticamente cualquier lugar.

Aunque la criptografía es una disciplina tan antigua como la escritura, su desarrollo

se ha dado como una lucha entre quienes diseñan algoritmos para ocultar la

información y quienes tratan de descifrar esos algoritmos.

Conocer los algoritmos, sus fortalezas y debilidades, así como lo que se puede

mejorar en ellos, ha ido creando codificaciones más seguras y que aun cuando se

realice un ataque de fuerza bruta, se pueda contar con poco tiempo para descifrarlo

antes de que se pierda la oportunidad de seguir el ataque.

Ante un cifrado simétrico inseguro y uno asimétrico lento, se ha visto la posibilidad

de crear uno híbrido que permita tomar lo mejor de ambos, pero es necesario

conocer los ataques a los que están expuestos para realizar políticas de seguridad

acordes a la realidad de la empresa.

130

BIBLIOGRAFÍA DE LA UNIDAD

Bibliografía sugerida

Autor Capítulo Páginas

Singh, Simón 1. La cifra de María Estuardo,

reina de Escocia 11 a 59

Ramos, Benjamín 28. Un nuevo esquema RSA híbrido 254-258

Stallings, William 3.4. Criptografía de clave pública

y privada

81-84

Stallings, William 2.2. Algoritmos de cifrado simétrico 43

Stallings, William 2.2. Algoritmos de cifrado simétrico 42

Stallings, William 3.3. Criptografía de clave pública

y privada

71

Stallings, William 3.1. Criptografía de clave pública

y privada

59

Stallings, William 4. Aplicaciones de seguridad en redes 91

Stallings, William 1.2 Introducción 5-11

.

UNIDAD 5

SEGURIDAD FÍSICA

132

OBJETIVO PARTICULAR

Al finalizar la unidad, el alumno tendrá los conocimientos para implementar las

medidas necesarias para asegurar los recursos de sistema de una organización.

TEMARIO DETALLADO

(4 horas)

5.1. Requerimientos de instalaciones

5.2. Técnicas de control

5.3 Protección de las instalaciones y del personal

5.4 Amenazas a la seguridad física

5.5 Componentes de seguridad física

5.6 Redundancia

133

INTRODUCCIÓN

En la seguridad física se pueden revisar situaciones que podrán afectar a nuestros

sistemas, que no necesariamente tienen que ver con temas informáticos, pero es

necesario tomarlos en cuenta para la seguridad de la empresa, sus activos y por

supuesto todo lo que involucra a sus sistemas. El entorno, la forma de acceder a las

oficinas, los controles que se tienen, las alarmas o la ubicación son ejemplos de lo

que debe considerarse para crear políticas de seguridad, así como medidas

preventivas, correctivas o para actuar en el momento de un ataque.

El acceso físico que se tiene en la empresa conlleva que es el paso del personal de

la empresa y de terceros, como proveedores, empleados externos (por ejemplo, de

limpieza o reparación de equipos), visitantes; pero también puede ser de personas

mal intencionadas que tengan como propósito el robo de información o algún acto

no autorizado que pueda vulnerar cualquier elemento del trabajo diario de la

empresa, por lo que se debe cuidar y fortalecer.

Al autorizar la entrada de personas se debe autenticar que son quienes dicen ser,

ya sean colaboradores o personas ajenas a la empresa.

Otro punto importante es conocer la naturaleza del lugar, cómo es el clima, si hay

temporadas de tormentas, huracanes o es una zona de alto riesgo sísmico.

Cuando se piensa en los controles, la autenticación, la protección de las oficinas y

todo lo que implica la seguridad física, podremos revisar que la inversión puede

llegar a ser muy alta, y debe valorarse si en verdad es necesaria o si el beneficio de

adquirirla tendrá un buen retorno.

134

Desafortunadamente la seguridad no la contemplan muchas empresas, ya que en

lugar de prevenir resuelven los problemas que se van presentando, y la seguridad

física es la que menos se contempla al diseñar los sistemas de seguridad, pero debe

considerarse como algo importante, debido a que, sin políticas de seguridad

apropiadas, el riesgo de sufrir daños físicos, pérdidas de información, equipos o

incluso vidas, y el consecuente costo financiero, es muy alto.

135

5.1. Requerimientos de instalaciones

Ubicación

Basándonos en el Manual de la metodología abierta de testeo de seguridad, por sus

siglas en inglés OSSTMM (Vincent Herzog, 2003), la ubicación tiene que ver con la

ubicación física de una organización, para lo cual se debe tener un mapa de

ubicación física de los bienes y listados de la ubicación física de las puertas o áreas

de acceso, de los puntos de acceso vulnerables en esa ubicación y de los accesos

de terceras partes.

Para proteger esto, se debe tener un listado de las áreas de la organización que son

visibles, las que son audibles y las que dan acceso al abastecimiento de recursos.

Es útil también contar con una lista de empresas y empleados de abastecimiento de

recursos, de las empresas de limpieza que se contraten, las que realicen entregas

y los horarios y sitios donde se permiten las visitas, entre otra información.

Entorno

Tiene que ver con la forma de obtener acceso a una organización o a sus bienes, a

través de puntos débiles en su entorno y en su protección contra elementos

externos.

Se deben revisar las condiciones climatológicas del lugar y la probabilidad de

desastres naturales, los procedimientos de resguardo y protección, las condiciones

políticas y sociales, los impedimentos que pueda haber frente a las condiciones

climáticas, y conocer las leyes, costumbres y ética local / regional.

136

Dado esto, podemos imaginarnos que no es lo mismo tener oficinas en la Ciudad

de México que en Los Cabos, o incluso en la misma ciudad no se tienen las mismas

políticas en oficinas ubicadas en Polanco, Santa Fe o Coyoacán.

Lo habitual es que las empresas instalen sus oficinas en un lugar donde les

conviene económicamente asegurando que tengan buena visibilidad y acceso a sus

clientes potenciales, dejando de lado una investigación seria del entorno, la

ubicación y sus alrededores. Esto es un error, porque tomarlo en cuenta a tiempo le

ahorraría a la empresa muchos problemas.

¿Qué puedo revisar inicialmente?

Estado de la construcción y lugar de las instalaciones.

Construcción, estructura y materiales empleados.

Zonas aledañas, asociaciones civiles o fuerza pública cercanas.

Medio ambiente y visibilidad.

Áreas vulnerables que se detecten en la instalación.

Usos y costumbres de los habitantes de la localidad y de la región.

Clima político y social de la localidad y de la región.

Regiones vecinas afectadas por el orden público.

Sistemas de extinción de incendios.

Medios de comunicación transporte.

Iluminación.

Vías de acceso.

Sistemas de control.

Los centros de datos, de procesos o de operaciones relacionadas con las

tecnologías de información, deben ser construidos con materiales adecuados a lo

que contendrán. Entre los controles que se deben implementar, se deben considerar

que soporten cualquier tipo de ataque desde el exterior, excluyendo armamento

pesado, ya que ese es un tema de estudio distinto, pero debe revisarse que los

137

materiales con que se construyan no generen incendios o sean de materiales

inflamables, que no se deterioren fácilmente ante las condiciones climatológicas,

hay que tener en cuenta que los incendios son la causa más frecuente de pérdida

de equipos e información, por lo que los sistemas anti-incendios son indispensables;

deben construirse sin ventanas al exterior, ya que esto facilitaría la tendencia al robo

o al acceso indebido. Si no se contemplan ventanas, será necesario contar con un

sistema de ventilación adecuado, resistente al calor y a la humedad. Hay que tratar

de que la instalación de todo el equipamiento que se vaya a colocar no llame la

atención o pueda dar a suponer en dónde se alojará el centro de datos o información

importante, y que permanezca lo más neutral posible.

Clasificación de las instalaciones

También se debe considerar el control perimetral de las instalaciones del centro de

datos o de los edificios que almacenen información o equipos críticos. Se debe

identificar si las edificaciones son consideradas de alto, mediano o bajo riesgo, y

con ese dato ubicarlos en donde genere menos problemas. Las instalaciones de

alto riesgo tienen en su estructura, datos, sistemas con información confidencial y

con un alto valor, ya sea en el mercado nacional o internacional; a todo lo que sea

de valor para una empresa se le conoce como activos, y son los que deben

resguardarse más celosamente. En caso de que llegase a extraerse información,

esto seguramente ocasionaría un daño financiero de gran dimensión, no sólo para

la empresa, sino para sus socios.

Las instalaciones de riesgo medio tienen como característica principal que al

detener su operación puede causarse un daño considerable a la compañía, que

tendrá que pagar un costo alto para recuperarse de la situación, pudiendo repercutir

en la comunidad o con los agentes relacionados a los datos que maneje.

Difícilmente ocasiona un daño material de consideración.

138

Las instalaciones de riesgo bajo permiten la operación de la empresa casi sin daños,

y aunque pueden generarse retrasos en su operación, éstos no llegan a ser

significativos, así como tampoco son altos los gastos que se produzcan para

recuperar la operatividad.

Relación del equipo, importancia y tamaño relativos

El espacio en el que se ubicará el centro de datos debe considerar el tipo de equipos

que se vayan a instalar en él. Deberá considerarse la instalación de racks donde se

ubiquen equipos de telecomunicaciones y servidores, que necesitarán entradas con

un acceso controlado, instalación de alarmas y, en general, un mayor porcentaje de

seguridad que las áreas en donde se tengan los equipos de la mayor parte del

personal de la organización.

Debe analizarse muy bien la forma en la que trabaja la empresa, conocer las áreas

importantes, ya que hay algunas que tienen un tráfico de datos de mayor

importancia, en conjunto, que la que guarda un servidor empresarial. El tamaño de

la empresa también sirve para determinar las zonas de alto impacto. Un buen

indicador es el costo en tiempo y económico que significa la recuperación del centro

y basado en este dato, determinar el grado de inversión a realizar. Debe ubicarse el

centro de datos lo más alejado del paso cotidiano del personal, visitas y público en

general; alejarlo de fuentes de radiación, electromagnéticas y magnéticas.

Vías de comunicación

Un control que a veces se pasa por alto, es la cercanía con vías férreas, caminos y

puentes de tráfico pesado. La vibración ocasionada por ese tipo de tráfico puede

ocasionar daños en los lectores de los equipos de cómputo, aunque sea una

vibración a muy baja escala. En la actualidad, los equipos están diseñados para

prevenir ese riesgo, pero el paso de tráfico continuo puede ocasionar daño

139

permanente en los equipos. El peso del edificio junto con el equipamiento, personas

y materiales debe ser considerado en la construcción y selección del terreno, para

evitar hundimientos o deslizamientos que en un futuro acarreen la necesidad de

trasladar los bienes a otro espacio físico.

Factores inherentes a la localidad

Se consideran importantes tres factores a analizar en cuanto a las condiciones del

medio ambiente externo en la localidad en que se sitúen las instalaciones de la

compañía y en particular el centro de datos: los factores climatológicos como el frío o

calor extremos, la humedad ambiental hasta agua o inundaciones por lluvias, ciclones

o tormentas frecuentes, así como sismos y peligros de terremotos que puedan provocar

deslaves en colinas o cerros aledaños. La prevención en estos casos radica en la

selección del terreno más apropiado en que se construirán las instalaciones, así como

la cuidadosa planeación de la distribución de edificios y materiales con que se

construyan los mismos.

Otro factor es el de los servicios básicos con que cuenta la localidad, ya que deben

estar disponibles y ser suficientes para cubrir las necesidades operativas, desde contar

con agua, energía eléctrica, servicio telefónico, servicios sanitarios, drenaje,

recolección de basura, medios de comunicación y respuesta rápida cuando éstos fallen.

La prevención radica en la investigación en la localidad sobre los mismos.

Un tercer factor es el de la seguridad, que tiene relación con el ambiente y el entorno;

permite a los colaboradores realizar sus actividades cotidianas sin disturbios o riesgos,

en ausencia de delincuencia y con posibilidad de crecimiento para que permita la

llegada de transporte público, así como la llegada y tránsito de empleados, proveedores

y clientes. De la misma manera, la geografía del terreno circundante debe garantizar

que en las instalaciones no se llegue a producir una depresión que ocasione en época

de lluvias inundaciones, que se encuentre en el paso de una corriente pluvial o bien que

no haya maleza seca en grandes extensiones que pueda producir un incendio.

140

5.2. Técnicas de control

Los controles de acceso también están relacionados con el tema de la seguridad

física que se indica en OSSTMM. Estas técnicas nos ayudarán a evaluar si el acceso

físico a las instalaciones de una empresa es acorde a los activos que se protegen

dentro de ella.

Para esto se debe realizar una lista de los accesos físicos, si se realiza algún tipo

de autenticación, ya sea electrónica o manual, si se tienen instalados sistemas de

alarmas y qué las activan, así como la forma de desactivarlas y las personas

autorizadas para esta acción y a las que les llegan las alertas.

Algunos controles que se pueden instalar en una empresa son los siguientes, y se

deben seleccionar dependiendo de la forma en la que estén ubicados y lo crítico de

los activos a resguardar:

1. Guardias de vigilancia. Este personal debe estar capacitado en el tipo de

usuarios que tienen permiso de acceso y si deben mostrar algún elemento

para permitirles la entrada, como alguna credencial; si éste es el caso, la

persona se identifica por algo que posee. La desventaja es que algunos tipos

de tarjetas pueden reproducirse con facilidad, facilitando el ingreso de

personas no autorizadas. Otra forma de ingreso que puede utilizarse es a

través de algún sistema biométrico, aunque estos por lo general son costosos

y debe analizarse si es necesaria su compra y si reportará beneficios su uso.

También debe observarse que en algunas empresas será necesario tener un

control vehicular, ya que es frecuente que se reporten robos por ingresos en

vehículos. La principal desventaja de los guardias es que pueden llegar a

recibir algún soborno para permitir el ingreso de alguna persona no

autorizada.

141

2. Detector de metales. Hay algunas empresas en donde se requiere hacer una

revisión de las personas que ingresan y si llevan algún tipo de metal,

pudiendo ser desde equipos electrónicos hasta algún tipo de arma no

autorizada en las instalaciones. Por lo general actúan como un elemento

disuasivo y los empleados deben conocer la lista de los artículos permitidos

y los no permitidos.

3. Sistemas biométricos. Este tipo de tecnología realiza mediciones

electrónicas, con las que compara características únicas para la

identificación de personas. Estos sistemas pueden eliminar la contratación

de guardias, ya que carece de sus desventajas, aunque por lo general son

sistemas costosos; si se hace un análisis costo-beneficio puede resultar más

barato a mediano plazo. Algunos sistemas biométricos comparan la huella

digital, hacen reconocimiento facial, verificación de voz o patrones oculares,

entre otros.

La importancia del control de acceso.

142

4. Verificación automática de firmas (VAF). En este caso lo que se considera es

lo que el usuario es capaz de hacer, aunque también podría encuadrarse

dentro de las verificaciones biométricas. Mientras es posible para un

falsificador producir una buena copia visual o facsímil, es extremadamente

difícil reproducir las dinámicas de una persona: por ejemplo, la firma genuina

con exactitud. La VAF, usando emisiones acústicas toma datos del proceso

dinámico de firmar o de escribir. La secuencia sonora de emisión acústica

generada por el proceso de escribir constituye un patrón que es único en

cada individuo, y, dicho sea de paso, ya algunos sistemas educativos a

distancia lo utilizan para identificar a sus alumnos. El patrón contiene

información extensa sobre la manera en que la escritura es ejecutada.

5. Seguridad con animales. Sirven para grandes extensiones de terreno, con la

ventaja de que sus órganos son más sensibles que los de cualquier

dispositivo; generalmente el costo de cuidado y mantenimiento se disminuye

considerablemente utilizando este tipo de sistema. Este sistema posee la

desventaja de que los animales pueden ser engañados para lograr el acceso

deseado.

6. Protección electrónica. Se llama así a la detección de robo, intrusión, asalto

e incendios mediante la utilización de sensores conectados a centrales de

alarmas, las cuales tienen a su vez conectados los elementos de señalización

que son los encargados de hacerles saber al personal de una situación de

emergencia. Cuando uno de los elementos sensores detectan una situación

de riesgo, éstos transmiten inmediatamente el aviso a la central; ésta procesa

la información recibida y ordena en respuesta la emisión de señales sonoras

o luminosas alertando de la situación. Algunas son: barreras infrarrojas y de

microondas, detectores ultrasónicos, detectores pasivos sin alimentación,

sonorización y dispositivos luminosos, circuitos cerrados de televisión y

edificios inteligentes.

143

5.3. Protección de las instalaciones y del personal

La protección física de las instalaciones mantiene un ambiente seguro para el

personal que allí labora, así como a sus activos, permitiendo que se desarrollen sus

actividades de manera normal, cuidando las leyes y la propiedad intelectual.

Las actividades que se llevan a cabo en las distintas organizaciones ya sean

públicas o privadas, nos hacen llegar a la conclusión de que ninguna norma de

seguridad física puede divulgarse y aplicarse universalmente a todas las

organizaciones; cada una es distinta y tiene sus medidas precisas de protección. Lo

primero que se debe realizar es identificar a la mayor parte de los riesgos y

amenazas; entendiéndolas como toda actividad que puede causar pérdidas o

atentar contra los activos de la organización.

144

La protección de las instalaciones y el personal puede llevarse a cabo por medio de

lo siguiente:

Control de entrada

Es deseable tener personal en todas las entradas de la empresa, con la debida

capacitación para que dejen el acceso libre solamente a quienes estén debidamente

autorizados. Para la entrada y salida de personas con paquetes, muebles o equipos

deberán ser tratados como un caso especial, donde deberán revisarse

cuidadosamente, pero también sin detenerlos demasiado tiempo.

Identificación de personas y requisas

Toda persona que necesite ingresar a las instalaciones debe identificarse, informar

a qué persona visita, con qué motivo, si lo esperan y tiene autorización y el tiempo

que permanecerá en las instalaciones. Dependiendo del tipo de empresa, es posible

que se requiera que pase por un detector de metales, le hagan una revisión rápida

a paquetes que lleve, o que se le pida que indique si entrará con algún objeto en

particular que deba ser registrado, como una laptop, por ejemplo.

Sistemas principales

Se recomienda realizar un control de movimientos del personal, iniciando desde la

entrada y hacer un recorrido por cada una de las áreas de la empresa, observando

cuidadosamente si hay actitudes sospechosas, para prevenir situaciones de peligro.

También se deben realizar inspecciones periódicas sobre el área de personal y

sobre zonas que se identifiquen como vulnerables.

Control del área exterior

Cuando se vigila el área exterior, se deben tomar en cuenta las áreas periféricas de

la instalación, para detectar si hay personas o vehículos sospechosos. Es muy útil

que antes de hacer las inspecciones se investigue bien el área alrededor de la

145

empresa, con el tipo de personas que pasan por lo general por la zona, y si hay

otras empresas o locales comerciales.

Tarjetas de identificación.

Es deseable identificar a las personas externas con un artículo de identidad, el cual

puede ser una tarjeta, un gafete o algo similar que quede a la vista de todos. Pueden

utilizar códigos de colores para identificar las áreas que puede recorrer de forma

autorizada, y si se encuentra a una persona en alguna zona no autorizada, el

personal de seguridad podrá tomar acción según las medidas de seguridad que se

tengan contempladas.

Vector tarjeta de identificación.

Verificación telefónica

Si la empresa que se protege tiene material clasificado, es conveniente que los

guardias verifiquen vía telefónica si una persona que desea ingresar en realidad va

con la persona que indica o si tiene autorización para entrar al asunto que la lleve

ahí.

Identificación de vehículos

El personal de guardia vehicular deberá inspeccionar los vehículos, con la finalidad

de verificar qué es lo que transportan, e identificar plenamente a las personas que

se encuentren en ellos y adicionalmente registrar la entrada indicando color, placas,

marca y clase de todo vehículo que ingresa a las instalaciones. Es conveniente

establecer áreas de estacionamiento para el personal y otra para invitados.

146

Escolta

Si la empresa guarda activos muy importantes en sus instalaciones, puede

considerarse que un miembro de seguridad acompañe a los visitantes hasta donde

van a ser recibidos.

Áreas restringidas y prohibidas

Deben identificarse en la empresa las zonas que se deban resguardar fuertemente,

esas áreas dependen del giro, organización y activos, entre otras variables, de cada

organización. En algunos casos pueden ser almacenes, centros de datos, áreas del

personal, depósito de respaldos, entre otros. A esos lugares sólo deben tener

acceso personas autorizadas, no todo el personal de la empresa, y debe tener

señalamientos de que es una zona restringida.

147

Lugares de visita

Hay algunas instituciones, por ejemplo, las financieras que requieren de un área en

particular donde puedan recibir visitas, pero evitando que ingresen a las

instalaciones. Es recomendable que esta zona tenga cámaras de vigilancia y se

tenga a la vista un código de comportamiento dentro de ellas, por ejemplo, evitando

el uso de cámaras fotográficas o dispositivos móviles.

La aplicación de medidas aisladas de seguridad y protección física no funcionan por

sí solas, así que toda medida debe ser tomada como importante y profundizar los

niveles de protección.

Tomar en cuenta la protección física no tiene un bajo costo económico, pero sí es

muy redituable y en particular cuando se ha realizado de forma correcta y se tienen

medidas preventivas y correctivas para las vulnerabilidades que se conocen.

148

5.4. Amenazas a la seguridad física

La seguridad física consiste en colocar barreras físicas y procedimientos de control

como medidas de prevención y corrección contra las amenazas a los recursos,

personal y la información confidencial. Los recursos pueden ser desde un mouse de

computadora hasta los respaldos de la información que se maneja en una empresa.

Hay aspectos importantes que se deben tomar en cuenta, ya que existen las

siguientes amenazas:

Hardware

El hardware por lo general es de los recursos más caros de una organización, por

lo que las medidas que aseguran su integridad son una parte esencial de la

seguridad física, especialmente si se trata de universidades o centros de

investigación, que suelen poseer equipos especiales muy costosos, desde equipo

de trabajo, servidores hasta equipos de telecomunicaciones de última generación,

incluyendo los enlaces que se utilizan para la de transmisión de datos.

Acceso físico

La posibilidad de acceder físicamente a un servidor con cualquier sistema operativo

hace inútiles casi todas las medidas de seguridad que hayamos aplicado en la

seguridad lógica de los sistemas.

Debemos considerar que una persona mal intencionada podría llegar al lugar físico

donde están nuestros servidores, abrir un equipo y robar su disco duro, o bien

ingresar al lugar donde se hacen los respaldos y llevarse alguno. Este tipo de

ataques le dan posibilidad al delincuente no sólo de robar la información

almacenada, sino también modificarla, destruirla o publicarla. Con un poco menos

de tiempo o conocimientos de un delincuente, podría llegar a instalar por medio de

un USB un keylogger o un sniffer.

149

El nivel de seguridad física depende del entorno donde se ubiquen los activos a

proteger. Hay que tomar en cuenta que el acceso físico también puede darse en las

máquinas que tengan personal con acceso a los servidores, ya que un atacante

podría acceder a alguno de esos equipos y a través de él lanzar un ataque.

Desastres naturales

Evidentemente esta amenaza no está bajo nuestro control, pero si se realiza un

análisis serio de la zona y los desastres reportados en los últimos años, podremos

tener un plan de prevención, otro de contingencia y uno más para la recuperación

de lo que resultara dañado.

Se consideran desastres naturales los terremotos, deslizamientos de tierra,

tormentas eléctricas, erupciones, huracanes, tsunamis, inundaciones, humedad y

tormentas eléctricas entre otros.

Desastres del entorno

Hay algunos inconvenientes que puede llegar a tener el entorno. Si aún se está

haciendo un análisis de dónde se ubicarán las instalaciones de la empresa, se debe

revisar cómo se entrega la energía eléctrica, si hay ruido eléctrico, si hay cerca

lugares que puedan provocar incendios, explosiones o humo, si hay temporadas de

clima extremo, si hay un alcance a radiaciones electromagnéticas, señales de radar,

posibles fugas tóxicas o radiaciones. Si las instalaciones ya se han seleccionado y

150

se encuentra cerca alguno de los riesgos enunciados, deben redactarse políticas

para saber cómo protegerse, qué hacer en caso de que ocasionen un desastre y

qué hacer para recuperarse del mismo.

A menos que las instalaciones estén ubicadas cerca de instalaciones militares, una

planta de energía eléctrica, una fábrica de pirotecnia o algo similar, los problemas

más frecuentes son los que tienen que ver con el sistema eléctrico; pudiendo

provocar cortocircuitos, cortes de flujo o picos de tensión que pueden incluso

destruir el hardware donde se almacena la información de la empresa o bien a los

equipos de telecomunicaciones.

También debemos considerar las amenazas que pueden ser generadas por

personas mal intencionadas, como el robo del cualquier recurso o peor aún, de

algún activo de la empresa. El fraude realizado con equipos o en contra de la

organización también debe considerarse como una amenaza latente; el peor tipo de

fraude que se puede cometer es el que viene desde dentro de la empresa, ya que

por lo general son personas que cuentan con cierto nivel de privilegios y que saben

la operación regular, por lo que el daño que pueden provocar no es mínimo.

El sabotaje también es algo bastante temido en las empresas, ya que por lo general

un empleado o un grupo de empleados realiza acciones en perjuicio de la empresa,

provocando fugas de información, retraso en los proyectos, ataques informáticos,

desvío de fondos o alguna acción similar; la cual, por lo general, tarda mucho en

descubrirse.

151

5.5 Componentes de seguridad física

Quienes se dedican profesionalmente a la seguridad informática, saben que es

importante identificar en la empresa a sus recursos humanos, sus medidas

organizacionales y los medios técnicos.

1. Recursos humanos

Para la protección de bienes y personal de una empresa, es necesario que haya

apoyo de otras personas asignadas a esa labor. Esto aplica desde los guardias de

vigilancia hasta los auditores en seguridad informática, porque la seguridad es una

cuestión de todos. Para la selección del personal se recomienda considerar las

condiciones físicas, culturales, de formación y legales (locales, federales e

internacionales); y en caso de que no haya perfiles que cubran todas las

necesidades, enviar al personal a cursos de capacitación efectiva. En la selección

del personal se deben tomar en cuenta sus estudios, certificaciones, entrevistas,

test psicométricos y deberán verificarse todos los datos que proporcione.

2. Política organizacional

Contempla las normas y responsabilidades de cada área de la organización, y todo

el personal de la empresa debe conocerla y acatarla. Las políticas que se definan

en materia de seguridad deberán dictarse desde los niveles jerárquicos más altos

de la empresa, tomando en cuenta lo que protegen y cuáles son las situaciones de

amenaza, orientando las acciones a seguir ante las situaciones que se describan.

Las políticas nacen muchas veces a través de plantear situaciones y hacernos

preguntas: ¿Cómo se identifica a las personas que laboran en la empresa?, ¿se

permitirá a los visitantes el ingreso vehicular al estacionamiento?, ¿quiénes son los

responsables de las áreas?, ¿quién está autorizado para apagar alarmas?, ¿cuáles

son los procedimientos para realizar fumigaciones?, ¿existe un plan ante desastres

naturales?, ¿cuáles son las salidas para evaluar al personal ante un incendio?, entre

muchas otras.

152

Si están contempladas más situaciones, las políticas suelen ser más efectivas, por

lo que podemos decir que nunca están terminadas, ya que siempre se presentarán

situaciones no previstas, las cuales deberán incorporarse en las políticas de las

organizaciones.

Las políticas organizacionales deben estar implícitas en lo que la empresa espera

de todo su personal y el comportamiento ético del mismo, para minimizar los riesgos

personales como hurto, fraude, agresiones, sabotaje, espionaje, atentados,

vandalismo, etcétera.

3. Tecnología

La tecnología por sí misma no es una solución a los problemas de la seguridad

física, pero puede ayudar bastante a minimizar los riesgos o amenazas identificados

para la organización.

Entre la tecnología que podemos tener como apoyo se encuentran:

1. Tecnología para la protección activa o electrónica. Ejemplo de esto es la

monitorización a distancia, sistemas de control, sistemas de autenticación,

sistemas de alarmas con detección de distintos tipos de eventos, vigilancia

por circuito cerrado, cercas eléctricas, entre otras.

2. Tecnología para la protección pasiva. Señalización (señales de seguridad,

de evacuación, de extintores), protección contra robo de equipos o ingresos

no autorizados (ventanas blindadas y con sensores, puertas de seguridad

con autenticación), protección pasiva contra intrusión (cercos perimétricos,

torreones).

3. Todo el diseño tecnológico que sirva para la prevención y protección de

eventos debe contemplarse en la política organizacional.

153

5.6. Redundancia

Hay algunos sistemas en los que no se recomienda la redundancia por el costo que

implica, pero en la seguridad informática es necesario contemplarla, ya que a veces

eso nos ayudará a poder recuperarnos de un evento, sobre todo si se manejan

sistemas críticos. Con sistemas de alta disponibilidad, varios equipos hacen la

misma función, sincronizándose todos en el mismo estado. Si el equipo principal

llega a fallar, uno de los equipos redundantes ocupará su lugar, manteniendo al

sistema en funcionamiento y emitiendo una alarma a los administradores para que

solucionen el fallo del equipo.

Entre más equipos participen en el sistema, se podrán obtener tasas de fiabilidad

altas, sobre todo para la integridad de datos.

La replicación de los datos de un servidor de archivos principal en otros secundarios

es otra opción para aumentar la seguridad física en los sistemas de almacenamiento

o en servidores de aplicaciones, y se recomienda que las copias estén alojadas

físicamente lejos para que, ante cualquier desastre, no haya afectación a todos los

servidores. La diferencia de este sistema con el anterior es que éste no sustituye

automáticamente a un equipo dañado, pero sí tiene una copia de sus datos. ¿Cuál

es más conveniente? Depende de las actividades de la empresa y por supuesto de

su presupuesto, ya que el primer sistema es más costoso.

154

RESUMEN

Algunas organizaciones se enfocarán a la idea de tener buenos candados en las

puertas de sus oficinas, pero no prestarán atención al número de copias que se

hagan de las llaves y a quiénes se han repartido. De forma análoga, en la seguridad

física hay que tomar en cuenta los detalles y plasmarlos en las políticas.

Para crear una política de seguridad en verdad útil, primero deben conocerse los

activos de la empresa, y los riesgos y vulnerabilidades que enfrentan al tener tales

activos, así como los daños financieros, legales y de imagen que tendrían al

perderlos o verlos afectados.

Los detalles están en:

Cómo y dónde se guarda información importante o crítica. Discos duros de

computadoras, CD o DVD, almacenamiento en la nube, correo electrónico,

servidores web, memorias USB, discos duros externos, papel impreso, entre

otros. Es recomendable que los datos se cifren y llevar un control preciso de

quién tiene acceso a las llaves para descifrarlos.

Cómo se destruyen los datos críticos cuando ya no se necesitan. Para

medios físicos pueden utilizarse trituradores, garantizando que por ningún

medio se pueda recuperar la información contenida en ellos. Los borrados de

varias capas1 antes de su destrucción, es muy recomendable.

Algunas prácticas, como tener políticas de respaldo externo, son útiles contra

amenazas digitales y físicas.

1 El borrado de varias capas es una técnica para borrar de forma seguro un disco duro, que consiste en sobrescribir varias veces sobre los archivos, evitando que, mediante el uso de herramientas de recuperación de datos borrados, puedan visualizarse nuevamente los archivos.

155

Si, por ejemplo, al viajar eliges transportar una memoria USB en cualquier parte de

tu bolso y no en una bolsa plástica sellada en el fondo de tu equipaje, la elección

tiene que ver con la seguridad física, aunque la información que se protege sea algo

lógico.

Las políticas que consideremos correctas o convenientes dependen mucho de la

situación. En el caso mencionado, la elección puede cambiar si el traslado es corto,

si no se documenta el equipaje o si se trata de un vuelo con conexión con equipaje

documentado. Conocer las particularidades de cada situación es la que nos llevará

a tomar una decisión u otra.

156

BIBLIOGRAFÍA DE LA UNIDAD

Bibliografía sugerida

Autor Título Páginas

ISECOM Sección F. Seguridad física. Manual de la

Metodología Abierta de Comprobación

de la Seguridad (OSSTMM, Open Source

Security Testing Methodology Manual)

89 - 96

García-Cervigón;

Alegre

1.2 Introducción a la seguridad

informática

6 - 14

157

UNIDAD 6

SEGURIDAD EN LA RED

Y LAS TELECOMUNICACIONES

OBJETIVO PARTICULAR

Al finalizar la unidad, el alumno podrá implementar mecanismos de monitorización

de redes, pruebas de penetración para optimizar las redes y las telecomunicaciones

de una organización.

TEMARIO DETALLADO

(14 horas)

6. Seguridad en la red y las telecomunicaciones

6.1. Vulnerabilidades en TCP/IP

6.2. Seguridad a nivel WAN y LAN

6.2.1. Firewalls

6.2.2. Proxies

6.2.3. Traductores de direcciones de red

6.2.4. Transparencia

6.2.5. Tunneling

6.3. Traducción de direcciones de red (NAT)

6.4. Redes virtuales privadas (VPN)

6.5. Seguridad nivel red

6.6. Seguridad nivel transporte

6.7. Protocolos seguridad nivel aplicación

6.7.1. Transacciones electrónicas seguras (SET)

6.7.2. Secure Hypertext Transfer Protocol (S-HTTP/HTTPS)

6.7.3. Secure Remote Procedure Call (S-RPC)

6.8. Ataques de redes y medidas preventivas

159

6.8.1. Suplantación (ARP)

6.8.2. Fuerza bruta

6.8.3. Gusanos

6.8.4. Saturación (Flooding)

6.8.5. Eavesdropping

6.8.6. Sniffers

6.8.7. Spamming

6.8.8. Fraude y abuso en PBX

6.8.9. Spoofing

6.8.10. Flooding

6.9. Monitores de redes y analizadores de paquetes

6.10. Comunicaciones de voz seguras

6.11. Seguridad e-mail

6.12. Seguridad en comunicación instantánea (e.g. MSN, GTalk)

160

INTRODUCCIÓN

En este momento debemos tener en cuenta lo importante que es, para una empresa

o una persona particular, contar con conexión a la red para poder hacer búsquedas

de información, acceder a aplicaciones tanto web como móviles, hacer transferencia

de archivos, hacer compras o pagos, enviar correos, mensajes o hasta

comunicarnos con otras personas a través de llamadas o video llamadas, entre otros

servicios cotidianos. Es indispensable su uso, y por el tipo de información que

utilizamos diariamente, la seguridad informática tiene mucha relevancia, debido al

aumento de las amenazas con las que lidiamos día a día.

Algunos de los problemas que aquejan a los usuarios de las redes son el robo de

información y el robo de identidad, que en ciertos momentos ha hecho que el uso

del comercio electrónico y de la banca electrónica haya bajado notablemente. Este

tipo de robos pueden realizarse con cierta facilidad dependiendo de las condiciones

en las que se conecte el usuario, si tiene instaladas aplicaciones que protejan sus

operaciones, el cuidado con el que maneja su información, entre diversas buenas

prácticas.

También existen otros problemas de seguridad más enfocados al robo de la

información empresarial que, por supuesto, puede desencadenar pérdidas

financieras, pérdidas de clientes o de la confianza que le tienen a la empresa.

Por esta razón, el asegurar la red, aplicaciones y datos, no es una situación que

deba preocuparnos hasta que suceda algún imprevisto, sino que debemos tener

una cultura de prevención y manejar políticas de seguridad que nos aporten tanto

un beneficio personal como empresarial, y permear esto a todos los demás usuarios

que en conjunto forman también parte del ecosistema digital.

161

6.1. Vulnerabilidades en TCP/IP

Conociendo el modelo de capas TCP/IP, tenemos que cada una de las capas está

sujeta a posibles ataques, por lo que el equipo de seguridad de una empresa y los

auditores de seguridad deben mantenerse atentos y actualizados ante estos

posibles eventos.

Elaboración con base en: El taller del bit. (2012). El modelo TCP/IP. Recuperado el 22 de febrero de 2019 de http://eltallerdelbit.com/modelo-tcp-ip

Acceso a la red. Por lo general las redes Ethernet se basan en un sistema de

difusión para transmitir los paquetes, por lo que todos los equipos de la misma red

la reciben y sólo el destinatario se queda con los paquetes, pero esto hace posible

que pueda haber escuchas en la red, y si alguien tiene un sniffer y los paquetes

162

viajan sin cifrado, es muy probable que esa red tenga información que se pueda

robar fácilmente.

Internet y transporte. Cuando se realiza una comunicación entre diferentes equipos,

se corre el riesgo de que un equipo se haga pasar por otro, por ejemplo, el

destinatario de los mensajes, o bien que sea otro el que conteste los mensajes.

Aunque cada equipo es identificado con una dirección IP (lógica) y una dirección

MAC (física), puede haber equipos que se hagan pasar por otros y ocupar una de

esas direcciones.

Aun cuando ahora hay protocolos seguros, no todos los utilizan; por ejemplo, revisa

cuántas páginas web consultas que utilizan HTTPS y cuántas usan aún HTTP.

Aplicación. Como sabemos, las aplicaciones tienen sus muy específicas

vulnerabilidades, según el lenguaje de programación, las librerías, el sistema

operativo, y los protocolos que se utilicen; éstos últimos son los que le conciernen

a TCP/IP. Si alguien sabe cómo trabaja la aplicación podrá tratar de ejecutar un

ataque o incluso tratarse de una persona maliciosa que participó en el desarrollo de

la aplicación. Los ataques en esta capa, por lo general, permiten el acceso a los

datos, la ejecución de programas no autorizados o la difusión de programas o

archivos con virus o malware.

163

6.2. Seguridad a nivel WAN y LAN

Recordemos que hay varios tipos de redes (PAN, LAN, CAN, WLAN, WAN, MAN),

pero nos enfocaremos en LAN y WAN.

LAN (por sus siglas en inglés Local Area Network) o red de área local, es una

red con alcance limitado a un área relativamente pequeña, desde una

habitación, un piso, un edificio; por lo que es utilizada en oficinas, escuelas,

hospitales o empresas medianas.

LAN

164

WAN (por sus siglas en inglés Wide Area Network) o red de área amplia es

una red extensa geográficamente que utiliza medios de comunicación

variados, como satélites, cables interoceánicos o fibra óptica, entre otros.

Una WAN por lo general conecta varias LAN y puede conectar las redes entre

ciudades, países o continentes, por lo que es ideal para la conexión de

oficinas transnacionales.

Elaboración con base en: TheTechFaq. (2019). What Is WAN Emulation.

Ya que las WAN son redes de áreas mucho más grandes, como podrás imaginarte,

se involucran más equipos de telecomunicaciones para su conexión y no todos los

equipos son propiedad de la misma empresa ni están bajo la misma administración,

por lo que el control queda fuera del alcance del equipo de administración, lo que

las hace más propensas a amenazas externas. Al intervenir más equipos aumenta

la posibilidad de que ocurran brechas de seguridad, y se complejiza la operación.

Los equipos que se utilizan generalmente para la conexión de las LAN son de la

misma empresa donde opera la red: equipos de cómputo, cableado, switches o

hubs, que comparten la administración de un mismo grupo, por lo que se les

considera más seguras.

165

En ambos tipos de redes puede hacerse un plan de seguridad, por ejemplo, para

las LAN pueden configurarse firewalls tanto lógicos como físicos y mantener un

esquema jerárquico de usuarios y sus permisos de acceso a la red. Para las WAN

se pueden utilizar protocolos de comunicación seguros, hacer el cifrado de los datos

y utilizar VPN (por sus siglas en inglés Virtual Private Network), una red privada

virtual que permite trabajar como si estuviéramos en una red local (esta es la parte

virtual) pero los hosts no están físicamente conectados entre sí, sino a través de

Internet. Esto nos da ventajas de una LAN como el acceso a servidores o archivos

de la LAN, aunque estemos ubicados geográficamente lejos.

¿Qué es una conexión VPN, para qué sirve y qué ventajas tiene?

166

6.2.1. Firewalls

Un cortafuegos (traducción de la palabra firewall en inglés), es un sistema de

seguridad que actúa por lo general como primera defensa de una red contra virus,

gusanos, malware o ataques de fuerza bruta, entre otros. Hay firewalls de software,

que son programas de seguridad, o de hardware, que son ruteadores físicos; en

ambos casos protege la red de amenazas externas a través del monitoreo de su

tráfico, tanto el entrante como el saliente, tomando decisiones de permitirlo o

denegarlo; lo cual lo define el administrador mediante la configuración de reglas de

seguridad.

Importancia de los cortafuegos

6.2.2. Proxies

Un proxy es un equipo intermedio entre las peticiones de un cliente y un servidor

web destino, haciendo un filtrado de todos los paquetes que se comunican entre los

dos. El proxy recibe peticiones del cliente para acceder a página y le hace la petición

al servidor como si el proxy fuera el cliente, por lo que oculta la identidad del cliente.

Cuando se establece una petición desde un cliente para ver una página web, en

realidad quien responde al cliente es el proxy y el proxy recibe las páginas que envía

el servidor. Cuando el servidor necesite identificar la dirección IP que hace las

peticiones, siempre aparecerá la dirección IP del proxy y no del cliente.

167

Es común para algunas personas confundir este funcionamiento con el de las VPN,

pero éstas no sólo sirven para la navegación al ocultar también la dirección real de

quien se conecta.

El uso de un proxy puede ser el de acceder a páginas que tienen bloqueado su

contenido para algunos países, lo cual sucede muchas veces por temas de

derechos de autor. Usando un proxy, si un sitio web no muestra contenido para

algunos países en particular, puede el cliente hacerse pasar por un usuario de otro

país que sí tenga acceso acceso.

Qué es un proxy y cómo puedes utilizarlo para navegar de forma más anónima.

6.2.3. Traductores de direcciones de red

Los traductores de direcciones de red (por sus siglas en inglés Network Address

Translation, NAT o Traducción de Dirección de Red) permiten la comunicación entre

un cliente y un servidor que no están en el mismo segmento de red.

Cuando inició Internet, no se tenía idea de lo mucho que crecería, por lo que las

direcciones IPv4 contemplan 32 bits para realizar el direccionamiento, pero el

número de direcciones públicas superó la cantidad que permite ese número de bits,

168

haciendo que las direcciones IP públicas se agotaran. Ante este inconveniente

surgió una solución con NAT, que permite que dentro de una red se utilicen

direcciones IP privadas, las cuales sólo pueden identificar a los equipos localmente

pero no en Internet, haciendo la traducción de las direcciones privadas a una sola

dirección IP pública que puede identificar a los equipos dentro de Internet. Gracias

a este “parche”, las empresas con muchos equipos en sus redes sólo necesitan una

dirección IP pública para darle salida a Internet. También es muy utilizado en redes

domésticas que tienen conexión a Internet.

RANGOS DE DIRECCIONES PRIVADAS

CLASE A: 10.0.0.0 A 10.255.255.255

CLASE B: 172.16.0.0 A 172.31.255.255

CLASE C: 192.168.0.0 A 192.168.255.255

6.2.4. Transparencia

Transparencia de red en su sentido más general se refiere a la habilidad de un

protocolo de transmitir datos a través de la red de manera que realice sus funciones

sin que el usuario se dé cuenta de qué hace, cómo lo hace, o que intervenga en las

tareas que se encuentra realizando el usuario.

También se usa el término de transparencia cuando se refiere a la compresión de

datos, ya que alcanzarla es lo ideal cuando hay una pérdida en la compresión

debido a que comúnmente la comprensión genera pérdidas; así que alcanzar la

transparencia es cuando no hay o son imperceptibles los defectos de compresión.

Por ejemplo, supongamos que tenemos un archivo de video y que al ser comprimido

tuvo una pérdida, pero cuando se reproduce ese archivo, es prácticamente

indistinguible esa pérdida y se ve prácticamente como el original; en ese caso se

dice que el archivo comprimido alcanzó la transparencia y no se nota diferencia

entre el original y el comprimido.

169

6.2.5. Tunneling

En la comunicación en red, para establecer una conexión entre emisor y receptor,

ambos deben utilizar y comprender la forma en que se comunican los protocolos de

comunicaciones. Los paquetes cuando viajarán por la red se dividen en dos partes,

una donde se almacenan los datos y otra donde se almacenan datos de la

transmisión.

Un protocolo de tunelización encapsula en su datagrama otro paquete de datos

completo que utiliza un protocolo de comunicaciones diferente, y crea un "túnel" a

través del que pueden transmitirse de forma segura los datos. Este tipo de túneles

se utilizan en las redes privadas virtuales (VPN), pero tiene otras aplicaciones, como

incrementar la seguridad de los datos que viajan sin cifrado a través de una red

pública.

Como se indica en la página de Kaspersky, de forma muy entendible y concreta, un

protocolo de tunelización crea un túnel entre dos puntos de una red por el cual se

puede transmitir de forma segura cualquier tipo de datos. Ejemplos de protocolos

de tunelización están SSH, PPTP e IPsec.

Un peligro de usar la tunelización es que debido a que los protocolos de túnel

ocultan un paquete completo dentro del datagrama, pueden llegar a ocultar datos

para que pasen la configuración de ciertos firewalls, ya sea transportando protocolos

que debieran denegarse, o bien enviando malware.

170

6.3. Traducción de direcciones de red (NAT)

Los traductores de direcciones de red permiten la comunicación entre dos equipos

que no están en el mismo segmento de red. NAT es un estándar creado por la

Internet Engineering Task Force (IETF) que permite modificar las direcciones que

llevan los paquetes, enmascarando las direcciones de una red privada y permitiendo

que se conecten a Internet con una sola dirección pública. Recordemos que sólo se

puede identificar a un equipo en Internet cuando éste utiliza una dirección pública y

no una privada, dado que los equipos de enrutamiento no pueden enrutar las

direcciones privadas, por lo que para resolver de LAN a WAN se hace un

enmascaramiento que relaciona a la dirección privada con la pública.

¿Cuándo debo utilizar NAT? Cuando usamos IP v4, tenemos pocas direcciones

IP públicas asignadas por el proveedor de Internet (ISP por sus siglas en inglés de

Internet Service Provider) y la cantidad de equipos que se necesitan conectar a

Internet son más que las direcciones asignadas. Por ejemplo, normalmente en casa

nuestro ISP nos proporciona una dirección IP pública, pero tenemos conectada a la

red una máquina de escritorio, una laptop, cuatro smartphones, una tableta, la TV y

una consola de videojuegos, que en total dan nueve equipos que se conectan a la

red, así que el ruteador que te proporciona el ISP maneja NAT, asignando

direcciones públicas a tus dispositivos locales y haciendo su traducción a la única

dirección pública que te identifica.

Por supuesto que cuando se trata de una red empresarial, se tienen varios equipos

dentro de ella funcionando y tratando de conectarse a servicios en Internet, lo que

hace que NAT sea imprescindible. NAT también permite aprovechar los bloques de

direcciones reservadas:

171

0.0.0.0/8 10.0.0.0 - 10.255.255.255

172.16.0.0/12 172.16.0.0 - 172.31.255.255

192.168.0.0/16 192.168.0.0 - 192.168.255.255

Cuando los paquetes pasan por el equipo que realiza NAT, se modifican para que

parezca que su origen es dentro del equipo de NAT, pero registra los envíos en su

tabla de estado para revisar que el paquete concuerda con alguna conexión

establecida, luego que reciba las respuestas invertirá la dirección en los paquetes

devueltos y se asegurará que los paquetes devueltos pasen a través del firewall y

no se bloqueen.

Estos cambios no son evidentes para el emisor-receptor, para un equipo dentro de

la red interna el equipo NAT sólo es la puerta a Internet y para el equipo externo los

paquetes vienen directo del equipo NAT, por lo que la traducción de direcciones IP

es transparente incluso para el usuario final.

172

6.4. Redes virtuales privadas (VPN)

Una VPN es una red privada virtual que permite trabajar como si estuviéramos en

una red local aun cuando los hosts no están físicamente cercanos y la conexión se

haga a través de Internet.

Con una VPN podemos tener una red local sin las restricciones geográficas que nos

impone una LAN común, por lo que nos da más flexibilidad. En estas redes se usan

los túneles de datos y el tráfico de red va desde el equipo al del proveedor de

servicio de Internet y de ahí se dirige al servidor VPN que le dará el acceso a la red

a la que se conectará como si estuviera físicamente dentro de ella.

Qué es un proxy y cómo puedes utilizarlo para navegar de forma más anónima.

173

La conexión que se establece por lo general envía los datos cifrados y la dirección

IP es la del servidor VPN al que se conecta, por lo que también se utiliza para

navegar anónimamente. Hay quien utiliza una VPN para incrementar su seguridad

y navegar anónimamente y sin dejar muchos rastros, en otras ocasiones se utilizan

para ver contenido multimedia de otro país donde por restricciones de derechos de

autor no llegan a reproducirse.

Las VPN han ayudado mucho a que crezca el trabajo a distancia, ya que los

trabajadores pueden conectarse a la LAN de su empresa sin necesidad de estar

ubicados geográficamente en las instalaciones, con el beneficio de acceder a los

recursos que requieren para desempeñar sus labores.

174

6.5. Seguridad nivel red

La capa de red tiene entre sus funciones el enrutamiento de los paquetes entre

redes y el esquema de direccionamiento que utilizan es el IP, que es el que

“entienden” los ruteadores; es justo que estos equipos son una de las mejores

herramientas para proporcionar seguridad en esta capa, ya que mediante su

adecuada configuración se pueden crear listas de control de acceso (ACL, por sus

siglas en inglés, Address Control List o listas de control de acceso) que permiten o

deniegan el paso de los paquetes, pudiendo filtrarlos por su dirección IP, la dirección

de red o protocolos, entre otros; creando un firewall físico que muchas veces es más

efectivo que uno configurado por software.

Elaboración con base en: CISCO. (s/f). Cisco 831 -24x integrated services router.

Por supuesto que el administrador de un ruteador debe tener cuidado de configurar

contraseñas fuertes y seguras para poder realizar la administración en sitio o de

forma remota a través de conexiones cifradas.

Los ruteadores seleccionan la mejor ruta a un destino utilizando protocolos de

encaminamiento, como RIP u OSPF, entre otros, pero cada uno de ellos tiene

ventajas y desventajas para interactuar con otros ruteadores, ya que, como

sabemos, en una WAN no se tiene control de todos los dispositivos, menos de los

equipos que usan los paquetes en la ruta a su destino, por lo que debe cuidarse de

que caigan en ruteadores apócrifos, cuyo fin sea solamente leer los paquetes que

lleguen a ellos. Por esta razón y porque el protocolo IPv4 no incluye mecanismos

175

de seguridad que de forma nativa protejan las comunicaciones, se debe considerar

cifrar todos los paquetes de la red y utilizar Redes Virtuales Privadas en alguno de

dos modos de implementación:

Modo de transporte, donde los extremos de la comunicación se encargan de

su protección cifrando sólo el contenido del paquete.

Modo túnel, donde cada paquete IP se cifra y encapsula dentro de otro, por

lo que sirve a la conexión segura entre redes.

En lo que debe tenerse cuidado es en el ataque conocido como IP spoofing, que es

un uso mal intencionado de hacerse pasar por otro equipo pretendiendo tener su

dirección IP; podemos reducir su peligrosidad al considerar procesos de

autenticación en la capa de aplicación y cifrando los datos.

También se puede considerar que nuestro ISP puede tener adicionalmente un

esquema de seguridad en su esquema de filtrado y en el servidor de nombres de

dominio.

176

Seguridad nivel transporte

En la capa de transporte se tienen los datos enviados por la capa de aplicación y se

fraccionan en segmentos que luego pasarán a la capa de red. En esta capa no

tenemos un direccionamiento como el físico de la capa física o el lógico de la capa

de red, pero sí el uso de dos protocolos importantes que trabajan con servicios

específicos y números de puerto: TCP (por sus siglas en inglés Transmission

Control Protocol) y UDP (por sus siglas en inglés User Datagram Protocol).

TCP UDP

Servicio orientado a conexión. Servicio sin conexión.

Establece una sesión entre los

hosts.

No establece una sesión entre los

hosts.

Garantiza la entrega secuenciando

los datos y utilizando

confirmaciones.

No garantiza la entrega de los

datos ni los secuencia.

Es lento, al solicitar confirmaciones

si no tiene todas, hace reenvíos.

Es rápido, no requiere

confirmaciones de entrega ni hace

reenvíos.

Tabla 6.1. Transmission Control Protocol (TCP) y User Datagram Protocol (UDP).

La seguridad de esta capa se aboca al cifrado de los datos, la autenticación de

quienes intervienen en la comunicación, la integridad de los datos y la evasión de

ataques de reinyección o replay, en los que se copian los datos de una transmisión

de datos válida con el objetivo de hacerse pasar por el emisor o el receptor.

La mayoría de los servicios que utilizamos en Internet de manera diaria son TCP,

considerar algunos ejemplos de ataques sería dejar muchos fuera, por lo que se

debe tomar en cuenta que lo mejor es utilizar protocolos mejorados como SSH, TLS

o SSL que cifran los datos y mejoran la integridad de los datos.

177

6.7. Protocolos seguridad nivel aplicación

La capa de aplicación maneja la sesión y las aplicaciones que se ejecutan en el

equipo; las medidas de seguridad implementadas deberán controlar la forma en que

interactúan los usuarios con sus aplicaciones; para esto se deben configurar valores

de seguridad para cada una de las aplicaciones que se utilicen, ya que son

vulnerables ante usuarios mal intencionados que intenten acceder a los sistemas

desde la red.

Podemos ayudarnos de Sistemas de Detección de Intrusiones (IDS por sus siglas

en inglés de Intrusion Detection System), que “escucha” el tráfico de la red pudiendo

detectar actividades poco regulares o sospechosas, así como comportamientos

peligrosos que, en cierto punto, podrían activar alertas a los administradores.

Las medidas de seguridad que decida utilizar deberán incluir los riesgos del lado del

servidor y del lado del cliente.

Algo que también debe considerarse es la capacitación de los usuarios para que

conozcan las políticas de seguridad que tiene la empresa, puesto que no solamente

se debe dejar la seguridad en la parte física o la lógica, sino que el factor humano

es igualmente importante.

178

6.7.1. Transacciones electrónicas seguras (SET)

SET (por sus siglas en inglés Secure Electronic Transactions) es un protocolo que

se desarrolló por Visa, Mastercard, IBM, Microsoft, VeriSign entre otros, para

gestionar pagos seguros a través de tarjeta de crédito por medios electrónicos.

Cada clave pública está asociada a un certificado de autenticidad emitido por una

autoridad de certificación, la cual, por supuesto, tiene un costo. Este protocolo

permite establecer los siguientes controles:

Autenticación: todas los involucrados en una transacción pueden

verificar su identidad a través de certificados digitales.

Confidencialidad: La información que se envía en cualquier dirección se

cifra.

Integridad: Se garantiza que la información transmitida no será alterada

sin que sea detectada.

Privacidad: Las entidades bancarias no tienen acceso a la información

de los pedidos que realizan sus clientes.

Verificación inmediata: Antes de que se concrete la compra, el

vendedor dispone de información acerca del crédito que tiene el cliente,

así como confirmación de su identidad.

No repudio: Se incorpora el estándar de certificados digitales que

asocian las identidades de los involucrados en la transacción con las

entidades financieras, bancarias y los sistemas de pago como

MasterCard y Visa, entre otros.

Fuente: Mastercard and Visa (1997). External Interface Guide to SET Secure Electronic Transaction (PDF). Recuperado el 19 de septiembre de 2019 de

http://www.maithean.com/docs/set_eig.pdf

179

SET no es un protocolo sencillo de implementar, ya que tanto la entidad bancaria

como el vendedor requieren de un software específico, por lo que su uso no fue muy

extendido y a partir del año 2000 comenzó a reemplazarse por 3D secure.

6.7.2. Secure Hypertext Transfer Protocol (S-HTTP/HTTPS)

S-HTTP (HTTP seguro) es una extensión del Protocolo de transferencia de

hipertexto (HTTP) que permite el intercambio seguro de archivos en la web. Cada

archivo S-HTTP utiliza RSA o certificados digitales; lo cual protege la integridad de

los datos y su autenticación.

Los datos solicitados a través de HTTP viajan desde el servidor al cliente en texto

plano, y quedan muy desprotegidos ante ataques de hombre en el medio (MIM por

sus siglas en inglés de Man in the Middle) que puede ver el contenido de los

paquetes tal como fueron enviados; a diferencia de los datos que se transmiten a

través de HTTPS, que viajan cifrados y aunque se intercepten no pueden leerse.

Inicialmente las conexiones HTTPS utilizaban el protocolo de seguridad SSL

(Secure Socket Layer) para proteger las conexiones de clientes que realizaban

transacciones financieras, pero se ha sustituido por TLS, (Transport Layer Security),

que aporta mayor seguridad y privacidad en las conexiones.

How is HTTPS different from HTTP? How does both work?.

180

6.7.3. Secure Remote Procedure Call (S-RPC)

El RPC (de sus siglas en inglés Remote Procedure Call o llamada a Procedimiento

Remoto) es un protocolo que permite a una aplicación ejecutar código, ya sea una

subrutina o proceso en un equipo remoto, sin que el desarrollador deba preocuparse

de los detalles de esta interacción remota.

Un RPC para trabajar de forma segura requiere tener una ruta de comunicación

cifrada, autenticar la identidad de quien le realiza una solicitud y verificar que quien

le hace la solicitud tiene los permisos para esa llamada, para otorgarle la

autorización. Algunos sistemas RPC no hacen esto y, por lo tanto, no son seguros.

Los RPC seguros se dividen en dos modelos: capacidades y listas de control de

acceso (ACL). La seguridad basada en las capacidades tiene el inconveniente de

que éstas son fáciles de copiar, por lo que no es sencillo mantener políticas de

seguridad complejas; y la seguridad basada en ACL es que se consideran difíciles

de configurar de forma adecuada, sobre todo con políticas de seguridad que

involucran distintas variables.

Con el concepto de código no confiable que se ejecuta en un sistema confiable, se

puede indicar que, si el código desea realizar una llamada a un procedimiento

remoto seguro, el servidor RPC debe poder diferenciar entre un RPC seguro

originado en el servidor de confianza y un RPC seguro originado en el agente no

confiable.

181

6.8. Ataques de redes y medidas preventivas

Los ataques en las redes han ido en aumento, debido a que la arquitectura de las

comunicaciones ha cambiado mucho y la mayoría de los sistemas trabajan en red.

La información crítica de los usuarios, las transacciones financieras, los historiales

médicos, los hábitos de consumo pasan por lo general por redes que son

constantemente acechadas por delincuentes dispuestos a robar esa información

para obtener un beneficio particular.

Las empresas deben contemplar políticas de uso seguro de la red, incluyendo

medidas para prevenir, terminar y solucionar ataques; aunque desafortunadamente,

en cuanto a la seguridad, no se toman las precauciones necesarias y menos las

preventivas, sino que se limitan a resolver problemas.

Si se diseñan medidas preventivas eficaces, las empresas podrían tener una

operación sin cortes y no tener que asumir pérdidas de datos ni de dinero, ya sea

por lo que implique lo que se haya perdido en el ataque o por la mitigación del

mismo.

Veamos, de acuerdo con varios autores, pero principalmente Álvaro Gómez en su

libro Enciclopedia de la seguridad informática, algunas descripciones mencionadas

en el capítulo 6 de quienes perpetran los ataques y los tipos de ataque que realizan.

182

6.8.1. Suplantación (ARP)

La suplantación (o en inglés spoofing), son diversas técnicas que se utilizan para

suplantar la identidad, principalmente con fines maliciosos, pero también se utiliza

en el hacking ético.

Entre los diferentes tipos de suplantación, ARP spoofing suplanta la identidad

mediante la falsificación de la tabla ARP, modificando en ella la relación de la

dirección IP con la dirección MAC del equipo a suplantar, pudiendo hacer que

paquetes que se envíen, le lleguen al equipo del atacante en lugar de hacerlo a su

destinatario original.

Para prevenir estos ataques se puede realizar un filtrado de paquetes,

inspeccionando los paquetes que viajan por la red; utilizar protocolos de red que

realicen cifrado, como HTTPS, SSH, TLS; también hay aplicaciones para la

detección de ARP spoofing, que inspeccionan y certifican los datos antes de

transmitirlos.

.

Arpfox: Herramienta para hacer ataques ARP Spoofing escrita en lenguaje Go

183

6.8.2. Fuerza bruta

Un ataque de fuerza bruta es una técnica básica para robar una contraseña,

haciendo pruebas con todas las combinaciones posibles de caracteres hasta dar

con el correcto para cada posición. Están disponibles programas que realizan de

forma automática estas pruebas, por lo que es muy utilizado. Ante esto, algunos

administradores de sitios web integran los captchas, para identificar si es una

persona la que intenta acceder al servicio o bien es una aplicación tratando de robar

una contraseña o hacer un uso inadecuado de la página; incluso hay algunos sitios

en donde se bloquea el acceso si nos equivocamos muchas veces al escribir la

contraseña, ya que esa acción puede ser alguien tratando de adivinarla o algún

programa haciendo combinaciones.

La mejor medida para prevenir estos ataques es generar contraseñas seguras, entre

mayor longitud mejor, ya que estos programas tardan más entre más caracteres

contenga la contraseña; y por supuesto que lo que definamos como contraseña no

esté en un diccionario ni sea fácilmente adivinado por terceros.

184

6.8.3. Gusanos

Un gusano es un software malicioso que, a diferencia de un virus, no altera los

archivos de programas, pero reside en la memoria, se duplica a sí mismo y explotan

agujeros de seguridad en el sistema operativo y las aplicaciones instaladas en el

equipo infectado.

Los gusanos siempre dañan la red, aunque sea bajando el rendimiento del ancho

de banda o replicándose en ellas, en cambio los virus siempre infectan o corrompen

los archivos de un equipo.

Algunas de las formas de propagarse son:

En archivos adjuntos enviados por correo electrónico.

En enlaces o archivos adjuntos en un servicio de mensajería.

A través de redes peer-to-peer (por sus siglas en inglés P2P).

Paquetes de red que se introducen en un equipo para activar el código del

gusano.

Gusanos informáticos.

185

Para prevenir un ataque con gusanos, es necesario instalar un software antimalware

y antivirus en los equipos (computadoras, servidores, tabletas y smartphones son

susceptibles de infección), así como actualizar frecuentemente el sistema operativo.

6.8.4. Saturación (Flooding)

La inundación o su traducción del inglés flooding, es un ataque de denegación de

servicio (por sus siglas en inglés DoS o Denial of Service) que inunda de una gran

cantidad de peticiones o de tráfico a la red o al servidor que ataca.

Cuando se inunda un servidor con conexiones que no se pueden completar, el

ataque va gradualmente llenando su búfer de memoria; cuando rebasa su límite, ya

no puede realizar más conexiones y el resultado es una denegación de servicio. Es

un ataque relativamente sencillo, por lo que hay atacantes que sin necesidad de

muchos conocimientos pueden llegar a causar daño a los servidores atacados.

Tal vez al revisar la información acerca de los ataques DoS encuentres el tipo de

ataque DDoS, que es un ataque de denegación de servicio distribuido; la diferencia

es que un ataque DoS se hace desde una sola dirección IP y el DDoS se realiza por

lo general desde varios equipos con direcciones IP distintas, usando una botnet o

"red zombi", que son equipos infectados con un malware y que realizan el ataque

bajo el control de un delincuente informático, muchas veces sin saber que son parte

de una botnet.

Por supuesto, detener un ataque DoS es más sencillo que hacerlo con uno DDoS,

ya que, en el primero, por lo general, se puede bloquear la dirección IP de donde

proviene el ataque, pero en uno DDoS son demasiadas direcciones las que atacan

y eso puede llevar a que el servicio deje de funcionar en un tiempo más corto.

186

Qué es un ataque DDoS y cómo puede afectarte

6.8.5. Eavesdropping

Eavesdropping es una intercepción pasiva del tráfico de red, lo que quiere decir que

los paquetes se leen, pero no se modifican. Haciendo una analogía, es como

escuchar una llamada telefónica, sin intervenir en algún momento y como resultado

se conoce lo hablado en esa conversación.

Este tipo de ataque en la red se realiza con packet sniffers, que son programas que

monitorizan y "escuchan" los paquetes que circulan por la red, ya sea en texto plano

o cifrados, aunque por supuesto lo que va cifrado con un algoritmo fuerte no será

leído.

Como solución a este ataque se puede hacer una monitorización de la red utilizando

herramientas que analicen el tráfico, pero al ser un ataque, no solo daña el

contenido del mensaje, sino que es difícil de detectar; por lo que la mejor estrategia

187

es que toda la información viaje cifrada, usar firewalls personales en las

computadoras personales, tener siempre el antivirus actualizado y de preferencia

utilizar redes privadas virtuales (VPN). Como regla de seguridad, se debe evitar

utilizar redes públicas, sobre todo si se realizarán transacciones de dinero, ya sea

compras o pagos.

6.8.6. Sniffers

Un sniffer es una aplicación especial para redes informáticas, que permite capturar

los paquetes que viajan por una red. En un inicio, los sniffers eran herramientas

útiles para los administradores de red, pero al conocer su potencial, algunos

delincuentes informáticos los comenzaron a utilizar para leer lo que viaja por la red,

como contraseñas, números de tarjetas de crédito, direcciones de correo e

información sin cifrar, incluso si revisan periódicamente el tráfico, pueden conocer

la relación de una empresa con sus clientes, proveedores y otras empresas; lo cual

se considera espionaje dado que es información confidencial.

Los sniffers son difíciles de detectar, pero se pueden seguir las recomendaciones

precautorias de eavesdropping para evitar que la información sea leída cuando viaje

por la red.

6.8.7. Spamming

Se conoce como spamming al envío masivo de correos electrónicos denominados,

que, por lo general, son correos no solicitados, como el correo publicitario y el de

remitentes desconocidos.

Es muy utilizado por algunas empresas debido a que en general no tiene un costo

de operación representativo, salvo por la gestión de la lista de correo que manejan

188

y que van actualizando, ya que es frecuente que esos correos se envíen de forma

masiva.

Para evitar el spam es una buena práctica manejar dos cuentas de correo, uno

personal que se utilizaría para intercambiarlo con familiares y amigos, y otro para

suscripciones a foros, boletines y otros servicios. Es recomendable que la dirección

personal no sea sencilla de adivinar, ya que existen algunos programas que prueban

en servidores de correo algunas cuentas que pueden generarse con un diccionario

o bien con palabras frecuentes en las direcciones de correo.

La buena noticia es que ahora existe software anti-spam muy efectivo, los

programas administradores de correo también detectan fácilmente el spam y lo

mandan directo a una carpeta en donde el usuario puede verificar que se trata de

spam o bien marcar la dirección como conocida.

189

6.8.8. Fraude y abuso en PBX

Este ataque es una intrusión dentro del sistema telefónico por un usuario no

autorizado, muchas veces con la finalidad de poder realizar llamadas

internacionales sin tener que pagar el costo de forma propia, pero poniendo el costo

en terceras personas, por lo general a una empresa que, entre sus usuarios, puede

perderse el control de quién realizó las llamadas.

Esto obviamente genera a las empresas cargos que pueden ser desde pequeños,

pero frecuentes, hasta cargos realmente costosos, aunque sea por pocas llamadas.

Para poder prevenir este tipo de fraudes es importante que el responsable de

telefonía de la empresa trabaje con su proveedor de PBX para configurar filtros y

claves para los diferentes usuarios que pueden realizar llamadas que impliquen

costos significativos de telefonía.

Este tipo de ataques ya son poco realizados ante las ventajas que tiene la telefonía

IP y las videollamadas.

6.8.9. Spoofing

El spoofing, o ataque de suplantación de identidad, es cuando un pirata informático

o individuo malintencionado se hace pasar por otro usuario o dispositivo en una red,

engañando a los usuarios o sistemas para que crean que se están comunicando o

interactuando con otra persona o sitio web.

El objetivo del spoofing es que un delincuente informático pueda obtener acceso (no

autorizado) a equipos o sistemas, propagar virus o malware, robar información

confidencial, entre otros.

Existen distintos tipos de spoofing, como ARP spoofing, IP spoofing, Web spoofing,

e-mail spoofing y DNS spoofing.

190

ARP spoofing suplanta las tramas ARP, suplantando la identidad a nivel de enlace,

con las direcciones físicas, de forma que en una red local se puede forzar a un

equipo atacado a que envíe paquetes a un host del atacante en lugar de al destino

legítimo; los efectos de esta acción pueden ser muy destructivos, ya sea que sólo

se intercepten los datos o bien se lleguen a alterar los mismos sin el conocimiento

de ninguno de los que entablaron la comunicación. Este ataque es difícil de detectar

y abre la puerta a otro tipo de ataques como Man in the Middle.

Una forma de solucionar este tipo de ataques es utilizar rutas estáticas para la caché

ARP, así como asociar las direcciones MAC a las IP.

IP spoofing es de los ataques más comunes en la suplantación y también se le

conoce como enmascaramiento de la IP; consiste en modificar la cabecera de los

paquetes enviados sustituyendo la dirección IP origen legítima por otra dirección IP

que se desee suplantar, dando como resultado que el host que reciba los paquetes

alterados responderá a la dirección IP modificada.

Web spoofing es un ataque donde se suplanta un sitio legítimo por uno falso, con la

finalidad de hacer del conocimiento público que el sitio fue atacado (motivos

políticos o sociales) o bien conseguir datos que proporcionen los usuarios

(contraseñas, sitios visitados, datos ingresados en formularios, entre otros). La

página apócrifa tiene el comportamiento de un proxy, realizando solicitudes de la

víctima al servidor, evitando la protección SSL. El phishing se deriva del web

spoofing.

Este ataque es difícil de detectar, pero hay algunos plugins que instalan en el

navegador, donde muestran la dirección IP del servidor visitado, y si cambia es

probable que ese sitio esté bajo ataque.

E-mail spoofing suplanta una dirección de correo electrónico haciéndose pasar por

otra persona ante el receptor del correo electrónico. Puede utilizarse para el

191

phishing o spam. Como el delincuente informático puede utilizar cuentas legítimas

y hacerse pasar por una de ellas para cometer el fraude, es una buena práctica que

se revise si el emisor del correo realmente proviene del servidor que se indica en la

cuenta, para realizarlo se debe activar la verificación SPF (Sender Policy

Framework), así el dominio autoriza a un servidor el envío de correo electrónico, y

si alguien envía un correo desde un servidor diferente al que autorizamos, lo

almacenará en la carpeta de spam o no lo entregará.

How to prevent internal email spoofing in an Exchange organization.

DNS spoofing consiste en una falsificación que se realiza gracias a una traducción

errónea de un nombre de dominio a una dirección IP, facilitando de ese modo el

redireccionamiento de un usuario a un sistema apócrifo.

Al utilizar DNSSEC (DNS Security Extensions) se agrega una capa de seguridad,

ya que previene el envenenamiento de caché DNS entre el local y los servidores de

nombres autorizados, añadiendo firmas digitales en cada una de las partes

implicadas: dominio, servidor DNS y Registry, dando como resultado que, si las

firmas no coinciden, el sitio web se presenta como inaccesible.

192

Ataques al DNS: cómo intentan dirigirte a páginas falsas

6.8.10. Flooding

En el punto 6.8.4 se describe el flooding. Veamos algunos ejemplos de algunos

ataques de saturación (flooding):

1. UDP Flood (saturación UDP)

Es un ataque DDoS que utiliza UDP, inundando puertos aleatorios con una

gran cantidad de paquetes UDP, lo cual termina agotando los recursos del

equipo.

2 ICMP Flood (saturación por ping)

Tiene una forma de operación similar al ataque de inundación UDP, pero en

este caso se inunda con solicitudes de paquetes ICMP (protocolo que utiliza

el ping), consumiendo ancho de banda tanto de entrada como de salida, ya

193

que el equipo atacado intentará responder cada petición, dando como

resultado una baja en el rendimiento del sistema hasta lograr la caída del

servicio. Para detenerlos, se pueden configurar listas de control de acceso

(ACL) en ruteadores y switches configurables.

3 Service Port Flood (ataque sobre puertos de servicio)

Así como los ataques UDP eligen puertos aleatoriamente, los que se dirigen

a los puertos de servicio dirigen peticiones a puertos estándar en los que se

sabe que se genera mayor tráfico. Por ejemplo, en servidores web podrían

atacar el puerto 80, afectando el tráfico tanto de entrada como de salida. La

prevención ante estos ataques, es más complejo, por lo que deben utilizarse

distintas herramientas, para mitigar o detener los ataques analizando el

tráfico.

4 4.MAC flood (ataque de inundación de MAC)

En este ataque se satura la tabla CAM (por sus siglas en inglés Content

Addressable Memory o Memoria de Contenido Direccionable) de un switch

con muchas direcciones MAC que se generan de forma aleatoria por alguna

herramienta que expresamente realice esa tarea. Ya que esta tabla sólo

puede almacenar una cantidad de información (varía en los equipos, pero es

finita), cuando un ataque de este tipo actúa, satura la tabla generando que

las tramas que van de un PC a otra PC como un unicast, se transmiten por

todos los puertos, haya o no configuradas VLAN. Esto le permite a un

delincuente informático que utilice un sniffer, capturar el tráfico que circula

por el switch.

Para completar este tema, busca un video titulado “Hacking a redes LAN: Clase 2 -

MAC Flooding Attack”.

194

6.9. Monitores de redes y analizadores de paquetes

La red de una empresa es un elemento muy importante para que funcionen sus

operaciones, incluso hay algunas en las que, si la red deja de funcionar, esto puede

provocarle problemas con sus clientes y pérdidas económicas.

Los sistemas de monitorización de redes pueden hacer una diferencia grande para

las empresas, ya que su principal función es asegurar que la red esté operando

prácticamente 100% del tiempo, y, en caso contrario, se podrán activar alarmas que

le serán enviadas al administrador, con la finalidad de que pueda detectar los

problemas que se presentan antes de que se produzca una caída del servicio.

Los monitores de red tienen como función monitorizar el tráfico entre todo tipo de

dispositivos que trabajen en la red, como equipos de cómputo, servidores,

impresoras, switches, ruteadores, entre otros.

La monitorización de una red permite al administrador analizarla y conocer estado

del funcionamiento de su red en un primer nivel, y le permitirá llevar adecuadamente

la gestión de la red, es decir, analizar la problemática y ejecutar acciones para

mitigar o eliminar los problemas.

195

Frameworks para monitoreo, forense y auditoría de tráfico de red – I.

Como se menciona acerca de los analizadores de paquetes (sniffers), nos ayudan

a capturar paquetes y analizarlos. Al analizarlos, los administradores de los servicios

pueden detectar problemas, por ejemplo, que los datos viajen sin cifrado, que se

utilicen protocolos no seguros, medición del tráfico en la red en puntos que pueden

generar más tráfico, e incluso para los desarrolladores les es útil para analizar la

información que transiten las aplicaciones por la red.

Hay algunos sniffers que se pueden utilizar en la capacitación de equipos de

seguridad de la empresa, para concientizarlos de la importancia de hacer la revisión

de lo que pasa por la red, y de asegurar que entienden la información que se

transmite en los paquetes.

Tanto el software de monitorización de red como los analizadores de paquetes son

evidentemente útiles para las empresas, pero también lo son para redes más

pequeñas, por ejemplo, las domésticas, ya que podemos darnos cuenta de la misma

información y poner las barreras necesarias para proteger nuestra información. Una

196

aplicación con la que se puede comenzar a realizar monitorización de redes se llama

Wireshark (https://www.wireshark.org/), que es un analizador de tráfico de la red

gratuito y multiplataforma.

Para utilizarlo, se deben tener conocimientos básicos de redes, como lo que son los

protocolos (TCP, UDP, IP, ICMP, etcétera), cómo funcionan los puertos, cómo se

realiza el enrutamiento de paquetes, entre otros.

La herramienta intercepta el tráfico y permite de forma sencilla identificar al tráfico

que viaja por la red y sus variables, como la latencia o frecuencia. Al monitorizar

constantemente el tráfico, el administrador aprende a conocerlo e identificar cuándo

hay comportamientos inusuales.

Para completar este tema se sugiere busques un video que se titula:

“Como usar Wireshark para capturar, filtrar y analizar paquetes” que explica paso a

paso cómo instalar y utilizar la aplicación para hacer la monitorización de tráfico con

esta aplicación.

197

6.10. Comunicaciones de voz seguras

Así como se dan ataques a PBX, ahora los delincuentes informáticos pueden tomar

los flujos de audio de la telefonía por internet y hacer escuchas de las llamadas, lo

que se da principalmente en las empresas que manejan información confidencial,

política, financiera o activos de riesgo para sus clientes. Para los delincuentes el

interceptar esa información los llevaría a otras acciones, como extorsiones, robo de

identidad o fraudes, comprometiendo a las empresas y sus clientes.

Aunque en la mayoría de las empresas la principal preocupación cuando utilizan

llamadas por internet, es la calidad del audio y la interoperabilidad, también deben

tomar muy en cuenta la seguridad, ya que, como un efecto normal, al utilizar la

telefonía la red, heredará sus debilidades.

Ahora bien, las ventajas son claras, ya que a la larga se tiene un menor costo, hay

servicios de valor añadido como en las aplicaciones de televigilancia o

teleasistencia, movilidad y una mejor gestión.

198

6.11. Seguridad e-mail

Los usuarios que comúnmente utilizan internet, tienen una cuenta de correo

electrónico, por lo que es un servicio altamente utilizado, y, por tanto, un servicio

que sufre de varios ataques, con el problema de que no tiene integrado un

mecanismo que garantice que un correo electrónico sólo podrá ser leído por el

destinatario.

Los ataques que pueden realizarse por este medio son:

Ejecución de archivos ejecutables enviados por correo.

Inserción de código malicioso en el cuerpo del mensaje.

Intercepción de mensajes.

Usurpación de remitente (spoofing).

Spam

Muchas aplicaciones que administran el correo ya tienen protección contra estos

problemas. Lo que también puede ayudar a resolver algunos problemas de

intercepción es el cifrado, que protege la privacidad de las personas con las que se

establece la comunicación, la otra es el uso de programas seguros como PGP (por

sus siglas en inglés Pretty Good Privacy), que es un programa que ayuda a proteger

la privacidad del correo y al mismo tiempo revisa su autenticidad.

Desafortunadamente, así como avanza la protección, van descubriéndose

vulnerabilidades, y en mayo de 2018 se indicó que PGP ya es vulnerable a una serie

de ataques, y que puede revelar el contenido de los mensajes.

199

6.12. Seguridad en comunicación instantánea (e.g. MSN, GTalk)

Así como rápidamente se incorporan mejoras a las aplicaciones, con la misma

velocidad se van descubriendo nuevas vulnerabilidades, sobre todo en sistemas

que van de salida del mercado, como versiones anteriores de sistemas operativos

o de las mismas aplicaciones. Esta es una de las razones por la que es

recomendable estar al pendiente de cuando nuestro equipo ya no soporta nuevas

versiones del sistema operativo, que es una de las razones por las que sería

conveniente actualizarlo a uno más reciente.

Esta situación aplica también a las aplicaciones de mensajería instantánea, sobre

todo porque tienen acceso a todo lo que guardamos en nuestro smartphone:

contactos, fotos, correos, videos, notas, mensajes, historial de navegación,

aplicaciones instaladas, movimientos financieros, y el largo de la lista depende de

cada usuario, la capacidad de su equipo y el uso que le dé. ¿Qué pasaría si alguien

no autorizado tiene la oportunidad de leer estos datos? Además, si alguien tiene

acceso a ver esa información, es posible que también pueda modificarla, publicarla

o borrarla.

En cuanto al uso de las aplicaciones de mensajería, es necesario considerar no

solamente cuáles aplicaciones son más seguras, las vulnerabilidades que se les

van descubriendo, así como la cantidad de nuestros contactos que las usan, porque

si utilizamos una muy segura y al final no la tienen instalada nuestros contactos, no

sirve para establecer comunicación con ellos.

Hay aplicaciones que son más utilizadas en diferentes países, por ejemplo, en

Estados Unidos y Canadá se utiliza mayormente el Facebook Messenger, mientras

que en México y el resto de América Latina, se utiliza Whatsapp Messinger.

200

El mapa de los servicios de mensajería instantánea.

Al ser aplicaciones que se usan sobre la red, comparten sus debilidades y sus

ataques, pero con un peligro adicional al utilizarse en un equipo móvil con el que

tenemos mucha interacción e información almacenada. Como buenas prácticas se

considera mantener actualizado el sistema operativo, configurar en un nivel alto las

opciones de seguridad de la aplicación, no darle demasiados permisos a la

aplicación (restringir el acceso a archivos, uso de cámara, por ejemplo), no

descargar todo lo que nos envían a través de la aplicación y no hacer clic en las

ligas que nos envíen.

201

RESUMEN

Pareciera que en el uso de las redes todos los días aparecen nuevos desafíos de

seguridad: cuando ya se ha atendido una vulnerabilidad aparece otra o se buscan

nuevas debilidades en las actualizaciones. Esta información se difunde

constantemente y tiene un impacto en la confianza que tienen los usuarios; por

ejemplo, en el comercio electrónico se han tenido que emplear algunas estrategias

para que la gente tenga confianza de hacer transacciones por internet, ya sea para

utilizar la banca en línea o realizar compras, y por supuesto se han trabajado

distintas iniciativas para mejorar la seguridad de las transacciones.

Los incidentes que se llegan a presentar impactan de forma directa sobre los

usuarios, ya sea robando sus datos o dinero, robando su identidad o cometiendo

fraudes en su nombre.

Definitivamente hay muchas vulnerabilidades que atacar, pero también se debe

capacitar y concientizar a empresas, usuarios, desarrolladores y administradores en

relación a la seguridad, porque, desafortunadamente para muchos de ellos, es un

campo desconocido, y por eso no se pueden tomar medidas efectivas que lleven a

un uso más efectivo y seguro tanto de la red como de las aplicaciones.

Hay una serie de buenas prácticas que pueden adoptarse, reduciendo

notablemente la probabilidad de que se reporte una incidencia de seguridad.

También debemos recordar que nada es 100% seguro, por lo que siempre

podremos estar a la expectativa de que nuestros esfuerzos por elevar la seguridad

pueden mejorarse o actualizarse, lo que lleva a que la seguridad es un proceso

continuo en el que estaremos aprendiendo de las propias experiencias y de lo que

vayamos leyendo respecto al tema.

202

Las organizaciones deben considerar a la seguridad como un proceso en donde

intervienen todas sus áreas, porque en efecto así es: intervienen equipos de

cómputo, de telecomunicaciones, usuarios, las diferentes capas que intervienen en

el proceso de comunicación y una larga lista de variables.

Las constantes amenazas hacen necesario que tanto las empresas como los

usuarios presten atención a lo que utilizan en particular y lo aseguren de la forma

más redundante posible, mitigando la posibilidad de un ataque o bien levantando la

mayor cantidad de barreras que impida la pérdida de sus activos.

La capacitación es sumamente necesaria dado que los ataques que tienen mayor

probabilidad de éxito se hacen con los usuarios, ya sea por desconocimiento o

porque tienen acceso a los sistemas de una empresa (ataques internos).

203

BIBLIOGRAFÍA DE LA UNIDAD

Bibliografía sugerida

Autor Capítulo Páginas

Marco, María; Marco Josep

8. Las redes de comunicaciones y la seguridad

87 a 93

Corrales, Alberto; Beltrán Marta; Guzmán, Antonio.

1.3 Ataques 18 a 20

Corrales, Alberto; Beltrán Marta; Guzmán, Antonio.

2.1 Ataques físicos 31 a 64

204

UNIDAD 7

SEGURIDAD DE APLICACIONES

205

OBJETIVO PARTICULAR

Al finalizar la unidad, el alumno conocerá las herramientas y la metodología para

asegurar el buen funcionamiento de las aplicaciones que corren en un ambiente

de producción.

TEMARIO DETALLADO

(12 horas)

7. Seguridad de aplicaciones

7.1. Seguridad en sistemas operativos

7.1.1. Unix

7.1.2. MS Windows

7.2. Seguridad en bases de datos

7.3. Seguridad en el desarrollo de aplicaciones

206

INTRODUCCIÓN

Cuando hablamos de software, sabemos que este concepto es un conjunto de

aplicaciones, datos, políticas, documentación y procedimientos que forman parte de

un sistema de cómputo.

Muchas personas están acostumbradas a ver el sistema operativo como algo que

no es software, pero es parte de ese concepto, sólo que está enfocado al manejo

del sistema, sirviendo como traductor y controlador de las operaciones que desea

realizar un usuario con los componentes del equipo que está utilizando.

El sistema operativo es software de sistema o software de base, y hay otro software

de sistema llamado firmware, que se almacena en una memoria como la que

ofrecen algunos circuitos integrados, y ambos son actualizables.

El software de aplicación por lo general nos ayuda a realizar una tarea específica,

que pueden servir para negocios, para mejorar el rendimiento del equipo, como

entretenimiento, cálculos, dibujo, entre otras.

En cualquiera de los casos, el software debe realizarlo un equipo de desarrollo que

debe tomar en cuenta la seguridad desde el nacimiento de la idea, y que estará

realizando pruebas a través de cada una de las fases del ciclo de desarrollo, y no

esperar hasta el final; esta buena práctica permite detectar errores y

vulnerabilidades en etapas tempranas, lo cual ahorra tiempo, esfuerzo del equipo,

y muy importante: reduce el costo final con mejores resultados.

207

7.1. Seguridad en sistemas operativos

El sistema operativo es un software muy importante en todos los dispositivos, ya

que es el encargado de funcionar como interfaz entre el hardware y el usuario. Dado

que no "hablan" el mismo idioma ambos, traduce las peticiones del usuario para que

el equipo le asigne los recursos necesarios para que realice las tareas que le solicita

el usuario. Adicionalmente administra todos los dispositivos de entrada y salida del

equipo, los recursos con los que cuenta como memorias, disco duro, conexión a la

red, entre otros.

Cada versión de sistema operativo, ya sea de equipos de escritorio o móviles, tiene

frecuentes actualizaciones periódicas debido a que se revisan continuamente

vulnerabilidades, fallas reportadas y se van agregando algunas funciones

adicionales; las fallas se corrigen, se blindan las vulnerabilidades y se agregan

funciones en una versión más actual. Hay veces que también podemos reconocer

esas actualizaciones con algo conocido usualmente como un "parche" del sistema

operativo, que generalmente sólo atiende a las fallas reportadas en el sistema.

Los usuarios debemos estar atentos a esas actualizaciones e instalarlas de forma

segura, lo que significa que a veces las últimas versiones pueden llegar a salir con

algún defecto, por lo que es una buena práctica revisar comentarios de revistas

especializadas o comunidades que hagan esas actualizaciones y aporten datos de

la estabilidad y operación de esa versión.

Si pasa tiempo y no se hacen las actualizaciones, corremos el riesgo de que el

sistema operativo sea vulnerable antes alguna falla detectada con anterioridad, que

pueda servir como antesala de un ataque a las versiones anteriores.

208

7.1.1. Unix

Unix nació en los laboratorios Bell en los años 70, bajo la programación de Dennis

Ritchie y Ken Thompson. Inicialmente lo desarrollaron en lenguaje ensamblador, lo

que tenía el inconveniente de que no lo hacía portable a otros equipos, por lo que

tuvieron que crear un lenguaje de programación nuevo al que llamaron B, y más

tarde desarrollaron su evolución, el lenguaje C que hizo a este sistema operativo

realmente portable.

Con el pasar del tiempo algunas universidades de Estados Unidos de América

realizaron algunas actualizaciones, destacando entre ellas la Universidad de

Berkeley.

AT&T lanzó su primer producto comercial de UNIX llamado System III en 1984, pero

es hasta que presenta la versión V cuando el sistema operativo es multitarea y

multiusuario, pudiendo identificar una gran cantidad de periféricos, manejando

grandes cantidades de información y contando con herramientas enfocadas a

entornos para el desarrollo de software.

Tomando como referencia inicial lo que menciona Tanenbaum en el caso de estudio

de UNIX en su libro de Sistemas operativos modernos; con la aparición de las

nuevas características se comenzó a tomar más seriamente la seguridad, por lo que

se comienza a limitar el acceso que tienen los distintos usuarios entre las cuentas

que se dan de alta en cada equipo y los recursos que comparten, restringiendo el

ingreso al sistema operativo a través de un nombre de usuario y contraseña, lo que

se conoce como el login al sistema.

Los usuarios que se dan de alta en UNIX tienen un UID (por sus siglas en inglés

User ID o ID de usuario) único, que es representado como un número entero que

fluctúa entre 0 y 65,535. Los archivos, procesos y otros recursos se marcan con el

209

UID del usuario propietario, que es quien los crea. Los usuarios pueden pertenecer

a uno o más grupos, y cada uno de ellos tiene un identificador con enteros de 16

bits conocidos como GID (por sus siglas en inglés Group ID o ID de grupo).

Cada proceso se identifica con el UID y el GID de su propietario; cuando se crea un

archivo, éste recibe el UID y GID del proceso que lo creó, aparte de una serie de

permisos, que indican el tipo de acceso que tienen el propietario, los miembros del

grupo del propietario y el resto de los usuarios.

Los permisos pueden ser de lectura, escritura y ejecución, y son identificados por

las letras r (read o lectura), w (write o escritura) y x (execute o ejecución).

Dado que hay tres categorías de usuarios (propietario, grupo, resto) y tres bits por

categoría (lectura, escritura, ejecución), se requieren nueve bits en total para

representar todos los permisos de acceso, como se muestra en los ejercicios de la

tabla 7.1.

210

BITS Permisos en UNIX Permisos que representa

111000000 r w x - - - - - - El propietario puede leer, escribir y ejecutar.

111111000 r w - r w - - - - El propietario y el grupo pueden leer y escribir.

110100000 r w - r - - - - - El propietario puede leer y escribir; el grupo puede leer.

110100100 r w - r - - r - - El propietario puede leer y escribir; el grupo y todos los demás pueden leer.

111101101 r w x r - x r – x El propietario puede hacer todo, el grupo y todos los demás pueden leer y ejecutar.

000000000 - - - - - - - - - Nadie tiene acceso (raro pero posible).

110110110 r w - r w - r w - El propietario, el grupo y todos los demás pueden leer y escribir.

Tabla 7.1. Ejemplos de algunos permisos.

Los directorios en el sistema operativo pueden verse como archivos y tienen la

misma forma de protección que éstos, con la única diferencia de que en los

directorios los bits x son el permiso de búsqueda y no de ejecución.

Por ejemplo, un directorio con permisos r w x r w - r w - permite a su propietario leer,

modificar y realizar búsquedas en el directorio, pero sólo permite al grupo y al resto

leer y escribir.

Los dispositivos de E/S (entrada / salida) están representados por archivos

especiales que cuentan con los mismos bits de protección que tienen los archivos

regulares. Por ejemplo, si somos el propietario de /dev/lp (impresora) que tiene el

modo de protección rw------, significa que únicamente el propietario puede utilizar la

impresora.

En UNIX hay pocas llamadas al sistema relacionadas con la seguridad, y la que se

utiliza más frecuentemente es a través del comando chmod, que funciona para

cambiar el modo de protección, o bien con el comando chown que permite cambiar

211

el propietario de un archivo o de un directorio. En la tabla 2 vemos algunos ejemplos

de llamadas al sistema que tienen relación con la seguridad. El código de retorno s

es -1 si ocurre un error.

Llamada al sistema Descripción

s = chmod(ruta, modo) Cambia el modo de protección de un archivo.

s = access(ruta, modo) Comprueba el acceso usando el UID y GID reales.

uid = getuid( ) Obtiene el UID real.

uid = geteuid( ) Obtiene el UID efectivo.

gid = getgid( ) Obtiene el GID real.

gid = getegid( ) Obtiene el GID efectivo

s = chown(ruta, propietario, grupo) Cambia el propietario y el grupo

s = setuid(uid) Establece el UID.

s = setgid(gid) Establece el GID.

Tabla 7.2. Llamadas al sistema relacionadas con la seguridad.

Ejemplo: El comando chmod (“/usr/prg/conf_routing”, 0755); establece los permisos

de conf_routing a rwx r-x r-x, y esto lo hacemos traduciendo cada número decimal

a binario: 7=111, 5=101, con lo que el propietario tiene todos los permisos

"prendidos" o en "1", el grupo y el resto de los usuarios pueden leerlo y ejecutarlo.

Únicamente el propietario de un archivo y el superusuario del equipo pueden

modificar los bits de protección.

Un caso especial es el UID 0 al que se le identifica como superusuario o root, que

tiene permisos de leer y escribir todos los archivos en el sistema, sin importar quién

es el propietario y los permisos que tienen asignados. También podemos encontrar

procesos con UID 0, que tienen la habilidad de realizar algunas llamadas protegidas

al sistema.

212

El administrador del sistema es al que identificamos como el superusuario, y por lo

general es una cuenta muy atacada por los delincuentes informáticos, debido a los

permisos que se tienen con esa cuenta, por lo que hay que proteger bastante la

contraseña y la conexión, si es que se efectúa una sesión remota.

Cuando un usuario inicia sesión en el sistema operativo, el programa de inicio de

sesión login pide un nombre de usuario y una contraseña, al contar con los datos

introducidos por el usuario, aplica una función hash a la contraseña (evitando que

ésta se almacene en texto plano en cualquier parte del sistema) y luego la busca en

el archivo de contraseñas /etc/passwd donde revisa si el hash coincide con la

contraseña en ese archivo. Si la contraseña es correcta, el programa revisa

nuevamente en /etc/passwd para verificar cuál es el shell seleccionado por el

usuario; si no es correcta la contraseña, el sistema le dará oportunidad al usuario

de corregirla hasta en dos intentos más, antes de bloquear el login.

Al entrar al sistema operativo, el programa de inicio de sesión utiliza setuid y setgid

para asignarse a sí mismo el UID y GID del usuario. Después abre el teclado para

la entrada estándar, la pantalla para la salida estándar y la pantalla para el error

estándar; al último ejecuta el shell seleccionado por el usuario, con el UID y GID

correctos y el sistema queda en espera de las operaciones que vaya a realizar el

usuario.

Todos los procesos que se creen a partir de la interacción del usuario con el sistema

operativo, heredarán de forma automática el UID y GID del shell y estarán asignados

al propietario y grupo correctos, al igual que todos los archivos que cree.

Debemos recordar que Unix, como cualquier otro software, debe protegerse desde

la programación, pero cualquier software puede tener brechas de seguridad cuando

se distribuye.

213

7.1.2. MS Windows

El sistema operativo Windows mayormente se ejecuta en equipos de escritorio y en

algunos servidores empresariales.

Tomando como referencia inicial lo que menciona Tanenbaum en el caso de estudio

de Windows en su libro de Sistemas operativos modernos; tenemos que el

desarrollo del sistema operativo Microsoft Windows puede dividirse en tres distintas

etapas: MS-DOS, Windows basado en MS-DOS y Windows basado en NT (por sus

siglas en inglés New Technology o Nueva Tecnología).

MS-DOS. A principios de la década de los 80’s, IBM le hizo un requerimiento de

software a Microsoft, y para poder atenderles, algunos autores indican que

compraron un clon del sistema operativo CP/M (por sus siglas en inglés Control

Program / Monitor o Programa de Control / Monitor), lo portaron a la IBM PC y le

otorgaron una licencia; a ésta versión le cambiaron el nombre a MS-DOS 1.0 (por

sus siglas en inglés MicroSoft Disk Operating System o Sistema operativo en Disco

de Microsoft).

214

Hay algunas teorías acerca de esto, como se puede leer en algunos artículos, como

en el llamado “Si demuestras que Microsoft copió CP/M para crear MS-DOS, te

llevas 200.000 dólares” (https://www.muycomputer.com/2016/08/09/ms-dos-cpm/).

MS-DOS inició como un sistema operativo de 16 bits, que se manejaba a través de

una línea de comandos por un único usuario. Para 1986 el sistema operativo había

crecido de 8 a 36 Kb, pero sin cambios relevantes en las demás características. En

cuanto a la seguridad, no se tenía contemplado en ese momento algún estándar ni

había muchas probabilidades de ataques; lo que más preocupaba era que los

códigos no fueran copiados por terceros.

Windows basado en MS-DOS. Microsoft dejó la interfaz de comandos de líneas de

MS-DOS por una interfaz gráfica de usuario, a la que llamó Windows. Microsoft

liberó Windows 3.0, que no era un sistema operativo como tal, sino un entorno

gráfico construido encima de MS-DOS, que era quien tenía realmente el control del

equipo.

Más tarde se liberó Windows 95, que ya era un sistema operativo con administración

de procesos, memoria virtual e interfaces de programación de 32 bits, pero

desafortunadamente no contemplaba una buena seguridad ni un buen manejo de

las aplicaciones, situación que continuó presentándose en las liberaciones de

Windows 98 y Windows Me.

Windows basado en NT. A inicios de la década de los 90, Microsoft visualizó que

seguir utilizando MS-DOS como componente central de sus sistemas operativos no

era una buena estrategia para su futuro. Para realizar un nuevo desarrollo

contemplando esta premisa, Microsoft tuvo un equipo liderado por Dave Cutler,

quien desarrolló un sistema operativo de 32 bits con la visión de implementar OS/2,

que Microsoft estaba desarrollando en ese momento en conjunto con la empresa

IBM. El sistema desarrollado por el equipo de Cutler fue nombrado NT por Nueva

Tecnología, el cual tuvo como características su portabilidad, su compatibilidad con

215

versiones anteriores de Windows y su desarrollo enfocado en la seguridad y

confiabilidad.

En versiones posteriores se agregó la exitosa interfaz de usuario gráfica de

Windows 95, lo que permitió a muchos usuarios migrar a servidores con NT de forma

más sencilla.

Las características representativas de Windows 2000 fue que se agregó plug & play,

se integraron mejoras al manejo de energía, servicios de directorio en red y una GUI

(por sus siglas en inglés Graphical User Interface o Interfaz Gráfica de Usuario)

mejorada.

NT fue desarrollado contemplando requerimientos de seguridad que cumplen el

estándar C2 del Departamento de Defensa de los Estados Unidos (DoD 5200.28-

STD), el cual requiere que los sistemas operativos sean lo suficientemente seguros

como para utilizarlos en operaciones militares. Algunas características seguras que

se incluyeron son: inicio de sesión con medidas para evitar la suplantación de

identidad, control de permisos de los archivos por parte de sus propietarios,

controles de acceso privilegiados para el superusuario, protección del espacio de

direcciones por proceso, auditoría de seguridad, cifrado de archivos, entre otras.

En Windows, tanto los usuarios como los grupos se identifican con un SID (por sus

siglas en inglés Security ID o ID de Seguridad), que es un número en binario con un

encabezado al que le sigue un componente aleatorio largo, el cual está diseñado

para ser único.

Cuando un usuario inicia un proceso, éste y sus hilos (subprocesos) se ejecutan

bajo el SID del usuario. La seguridad se diseñó para que sólo los hilos que tienen

un SID autorizado puedan acceder a los objetos. Cada proceso tiene un token de

acceso que se crea mediante winlogon e indica quién es el propietario de ese

216

proceso, qué valores predeterminados y permisos posee; heredándolos a los

siguientes procesos.

También utiliza lo que se conoce como imitación de identidad, que se implementa

en la capa de transporte y se utiliza en las RPC (por sus siglas en inglés Remote

Procedure Call o Llamada a Procedimiento Remoto) para la comunicación de

clientes a servidores. Funciona de la siguiente manera: un hilo puede llegar a tener

un token de acceso diferente cuando se ejecuta, por lo que el token de acceso al

hilo invalida el token de acceso del proceso. Un hilo cliente puede pasar sus

permisos de acceso a un hilo servidor, permitiendo que pueda acceder a los

archivos protegidos del cliente.

El campo Grupos indica a qué grupos pertenece el proceso y el SID de usuario

indica quién es el propietario del proceso. Las SID restringidas permiten que los

procesos que no son de confianza puedan participar en tareas con los procesos de

confianza, pero con menos privilegios. En caso de haber privilegios listados, éstos

dan al proceso privilegios especiales que no tienen los usuarios ordinarios, como el

acceso a archivos especiales o la capacidad de apagar el equipo (shutdown). Los

privilegios pueden asignarse a procesos individuales, por lo que un usuario puede

tener algunos privilegios que sólo tiene comúnmente el superusuario, pero no se le

otorga todo el control.

Una parte importante del control de acceso de Windows se basa en los descriptores

de seguridad. Un descriptor de seguridad indica qué usuario puede realizar

operaciones sobre un objeto determinado y se asigna cuando se crea un objeto. El

sistema de archivos NTFS (por sus siglas en inglés New Technology File System o

Sistema de Archivos de Nueva Tecnología), que maneja Windows NT, junto con el

registro mantienen una forma persistente de descriptor de seguridad, con un

encabezado, una DACL (por sus siglas en inglés Discretionary Access Control List

o Lista de Control de Acceso Discrecional) que concede o deniega permisos para

217

tener acceso al objeto a usuarios específicos o a grupos, y con una o más ACE (por

sus siglas en inglés Access Control Entries o Entradas de Control de Acceso).

Por ejemplo, si un objeto de Windows no tiene una DACL, entonces el sistema

permite a todos el acceso completo ("prende" todos los permisos); si un objeto tiene

una DACL, el sistema sólo permite el acceso indicado por las entradas de ACE en

la DACL; si no hay ACE en la DACL, el sistema le deniega los permisos de acceso

a todos ("apaga" todos los permisos); y si una DACL tiene ACE que permita el

acceso sólo a usuarios o grupos específicos, el sistema negará el acceso a todos

los administradores que no están incluidos en las ACE.

Se pueden agregar entradas en la ACL, así como también se pueden agregar

entradas en la ACE; también se puede borrar una ACE y crear una ACL a partir de

otra. Cuando se actualiza una ACL, se debe unir al descriptor de seguridad y cuando

se crea un objeto, el descriptor de seguridad nuevo se le puede pasar como

parámetro para unirlo a él.

La seguridad en un sistema Windows se implementa con varios componentes, el

inicio de sesión se realiza con winlogon y la autenticación de usuarios se realiza con

LSASS (por sus siglas en inglés Local Security Authority Subsystem Service o

Servicio de Subsistema de Autoridad de Seguridad Local). Cuando se produce un

inicio de sesión exitoso, hay un nuevo shell de GUI (explorer.exe) con su token de

acceso asociado. Este proceso utiliza los grupos masivos de archivos SECURITY,

que establece la directiva de seguridad general, y SAM (por sus siglas en inglés

Security Account Manager o Administrador de Cuentas de Seguridad), que contiene

información de seguridad para usuarios individuales, en el registro.

Cada vez que un usuario abre un objeto, el sistema operativo realiza operaciones

de seguridad, abriendo el nombre del objeto y sus permisos; el monitor de referencia

de seguridad comprueba si el proceso que está haciendo la llamada tiene los

218

permisos necesarios, analizando el token de acceso del proceso que hizo la llamada

y la DACL asociada al objeto. Si se cumplen con todos los permisos, la apertura del

objeto es exitosa y en las llamadas subsecuentes únicamente se comprueba si la

operación está en el conjunto de operaciones solicitadas al momento de abrir el

objeto (ya se comprobaron los permisos), lo cual evita que un proceso abra un

archivo para lectura y después trate de hacer otras acciones no permitidas con él.

Todas las llamadas que se realizan en los manejadores generan entradas en la

bitácora de registro de auditoría.

Uno de los problemas que presenta Windows desde hace varias versiones, es que

una gran cantidad de usuarios utilizan el equipo con una cuenta de administrador,

por lo que introdujo UAC (por sus siglas en inglés User Account Control o Control

de Cuentas de Usuario), aunque en ocasiones, por cuestiones de permisos, los

administradores de las empresas les dejan esta opción a los usuarios, lo que implica

un riesgo serio, ya que algún error puede dañar el sistema o bien se puede tener un

mayor nivel de daño en caso de algún ataque a la cuenta del usuario administrador,

ya sea por phishing, ingeniería social o algún otro ataque, ya que cualquier ataque

exitoso tendría acceso con un perfil administrativo y podría tener una repercusión

profunda en el sistema.

De forma regular se agregan nuevas características de seguridad a Windows y se

presentan como actualizaciones que pueden programarse para que se descarguen

automáticamente o bien con la opción de que el usuario primero revise qué se

instalará y elija lo que se desea actualizar.

La realidad es que, si has trabajado con Windows, sabrás que a veces las

actualizaciones automáticas no son la mejor idea, es mejor esperar un poco de

tiempo de que sale la actualización y se reporta estable, para instalarla. Es

importante revisar e instalar las mejoras de seguridad, ya que de no hacerlo se corre

el riesgo de tener la puerta abierta a que personas malintencionadas vulneren el

219

sistema a través de malware o ransomware, entre otros, pero hay que darle también

un tiempo adecuado a esa actualización.

220

7.2. Seguridad en bases de datos

Las bases de datos nos ayudan a almacenar diversos tipos de información, desde

datos sencillos como nombre de una persona, dirección postal, número telefónico,

o bien datos que son considerados críticos, como el número de su cuenta bancaria,

su saldo, su número de seguridad social entre otros que pueden utilizar por ejemplo

instituciones bancarias.

La seguridad en las bases de datos debe tratarse con el mismo nivel de importancia

que tiene la información que se almacena, ya que pueden tratarse de activos muy

valiosos para terceros.

221

En las bases de datos se pueden implementar mecanismos que permitan o

denieguen el acceso a los datos, ya sea a través de perfiles jerárquicos o roles

específicos que puede generar el administrador de la base de datos. No todos los

usuarios son creados iguales, algunos tienen más permisos que otros, por lo que

se debe garantizar la rendición de cuentas por usuario, haciéndolos responsables

de sus acciones cuando usen su cuenta y la base de datos; se debe también prever

que se podrán administrar los privilegios para limitar el acceso a los datos, en caso

necesario.

Se recomienda utilizar cifrado en los datos almacenados para volverlos ilegibles,

sobre todo los que son confidenciales; esto implica cifrar los datos también en su

transmisión, previniendo que un delincuente utilice un sniffer.

Es por lo general una buena práctica y una preocupación de los administradores de

servicios informáticos (red, bases de datos, servidores, entre otros), crear y

mantener entornos seguros, para que haya una probabilidad menor en los riesgos

que se puedan presentar, aunque siempre hay que recordar que ningún tipo de

seguridad es 100% efectiva.

Las estadísticas nos enseñan que una gran parte de los ataques que se realizan,

los hacen personas que pertenecen a la empresa que se ataca, y justo lo más difícil

en la seguridad, es contemplar la protección incluso contra los mismos usuarios a

los que se les han asignado ciertos privilegios; esta protección es más complicada

que cuando se protege un sistema contra ataques externos.

Los controles de acceso deben siempre contemplar que se accede desde los

lugares permitidos y con las reglas establecidas previamente. Los mecanismos de

seguridad, de forma general, son reglas impuestas por el DBMS (por sus siglas en

inglés Database Management System o Sistema de Manejo de la Base de Datos),

que verifica cada solicitud de acceso, revisando las restricciones de seguridad

222

almacenadas en el catálogo del sistema; sin embargo esto no es completamente

efectivo debido a que siempre debemos considerar que existen puntos vulnerables

del sistema, lo cual puede derivar en un robo de los datos o en el cambio de los

mismos en la base de datos, haciéndola no confiable y comprometiéndola de forma

grave, lo cual tiene que ver con los principios de integridad, disponibilidad y

confidencialidad de la información. La integridad de la base de datos tiene que ver

con que la información que se almacena en ella esté protegida contra

modificaciones no autorizadas o no consideradas.

La disponibilidad se refiere a hacer que los objetos estén disponibles para un

usuario legítimo o un programa debidamente autorizado, que cuente con los

permisos de efectuar las operaciones que solicita.

La confidencialidad es la protección de los datos contra la exposición no autorizada,

la cual puede derivar en acciones legales contra la empresa, la pérdida de confianza

de sus clientes y demás usuarios, o bien en una pérdida de dinero en acciones,

entre otros problemas serios.

El ataque a las bases de datos es uno de los blancos favoritos de los delincuentes

informáticos, y aunque las medidas de seguridad se enfocaban en proteger la red

223

empresarial con firewalls, IDS (por sus siglas en inglés de Intrusion Detection

System o Sistema de Detección de Intrusos) / IPS (por sus siglas en inglés Intrusion

Prevention System o Sistema de Prevención de Intrusos), antivirus, antispam,

antimalware entre otros, es cada vez más frecuente que el enfoque sea más integral

y se tome en cuenta en específico la seguridad de las bases de datos, sobre todo

las que almacenan datos críticos o tienen activos importantes para la empresa.

El departamento de seguridad de una empresa debe conocer muy bien qué datos

se almacenan en sus bases de datos. Hay empresas que, aunque en sus sistemas

manejan datos confidenciales, como números de cuentas bancarias, éstos no son

almacenados, lo cual es una buena práctica debido a que no se corre riesgo en los

datos que no se almacenan, aunque sí se deberá tomar en cuenta la seguridad en

la transmisión de los mismos.

Los datos que se consideran críticos son conocidos como los activos de la base de

datos, y éstos deben conocerlos a la perfección los administradores de la base de

datos, así como si presentarán cambios debido a alguna actualización, aplicaciones

nuevas consideradas de confianza, nuevas funciones o bien la fusión o adquisición

de la empresa. Para esto, deben tener una excelente comunicación los

administradores con los equipos de desarrollo que hagan modificaciones o

actualizaciones en los sistemas y sus bases de datos.

Hay algunos tipos de amenazas que se registran frecuentemente en foros de

seguridad, de los que deben estar al pendiente los encargados de la seguridad de

la empresa, tal como los ataques de inyección, el cross-site scripting (por sus siglas

en inglés XSS de Cross Site Scripting o Ejecución de Comandos en Sitios Cruzados)

o Cross-Site Request Forgery (por sus siglas en inglés CSRF o Falsificación de

Petición en Sitios Cruzados), entre otros.

224

Es importante también evaluar la configuración de las bases de datos, para

asegurarse que no tiene vulnerabilidades, dejando siempre la configuración de la

seguridad en un nivel alto, lo más alto posible en caso de contener datos críticos.

La configuración no sólo tiene que ver con la misma base de datos, sino con la

configuración y actualización del sistema operativo, librerías y todo lo que involucre

al ecosistema digital en donde está instalada; revisando los permisos de usuarios y

grupos en cuanto a la lectura, escritura y ejecución de la base de datos y bitácoras

de transacciones.

Si se automatiza el control de la configuración, debe quedar registro de cualquier

cambio que se realice, ya sea manual o automático. Lo mejor es configurar alertas

cada vez que se detecten cambios en la configuración, para que el administrador

esté enterado de ellas.

Adicionalmente, se debe verificar que la base de datos se ejecuta con versiones

que no tienen vulnerabilidades conocidas, lo que se puede hacer verificando en

foros, comunidades y empresas de seguridad.

En algunos casos resulta benéfico eliminar las funciones que se no utilicen, así

como aplicar y difundir políticas de seguridad estrictas sobre lo que se puede o no

hacer.

Una vez que esa parte se efectúe, se deben realizar pruebas en donde se audite la

seguridad que se ha especificado en las políticas y la forma en la que se operan los

sistemas y la base de datos, para revisar que se cumplen y si hay algunas otras

vulnerabilidades que no se hayan considerado al momento.

Una vez que se realizan las pruebas, se mejora la seguridad con las buenas

prácticas que se deriva del reporte final y luego se debe realizar la monitorización

continua de la actividad de la base de datos para conocer si ha habido intentos de

225

entradas no autorizadas, si se han registrado intrusiones exitosas, si se ha hecho

un uso indebido de los datos o cómo se realiza la actividad de los usuarios con

permisos privilegiados, que llegan a ser las cuentas más atacadas. También se

puede detectar actividad sospechosa, como que haya patrones de comportamiento

inusuales, cambios de permisos, cambios no autorizados en los datos, cambios de

configuración, entre otros.

Los ciclos de revisión y pruebas deben ser rutinarios, por lo que es necesario que

el administrador implemente y revise periódicamente los informes sobre los accesos

y permisos de usuarios, las políticas de seguridad y realice las pruebas y auditorías

necesarias, para que no se facilite el trabajo a los delincuentes.

226

7.3. Seguridad en el desarrollo de aplicaciones

Los riesgos a los que nos enfrentamos diariamente tienden a evolucionar con el uso

de las tecnologías, el almacenamiento en la nube, el uso de aplicaciones web y

móviles, el Internet de las cosas (IoT), entre muchos otros.

Según un reporte de 2017 de la empresa Symantec (2017 Norton Cyber Security

Insights Report Global Results), se indica que aproximadamente 978 millones de

adultos en 20 países han experimentado el cibercrimen o delitos cibernéticos; desde

la suplantación de identidad, el robo de información financiera, hackeo a sus

cuentas de correo o redes sociales, phishing, correo fraudulento, entre otros. Las

pérdidas a nivel mundial a causa de este tipo de delitos son de $172 mil millones de

dólares americanos (USD).

La utilización de las aplicaciones se ha hecho indispensable; hace ya varios años

que incluso no es necesario instalar las aplicaciones en nuestro equipo de cómputo,

ya que podemos utilizarlas desde la nube. También usamos muchas de ellas en los

dispositivos móviles, donde por lo general guardamos mucha información personal.

Esto hace indispensable que se utilicen metodologías de desarrollo seguro de

aplicaciones, que garanticen que el manejo de toda nuestra información se hace

con el mayor cuidado y precisión posible.

Una metodología de desarrollo seguro puede definirse como los procedimientos, las

herramientas, las técnicas y la documentación que apoyará a los desarrolladores a

realizar nuevo software, contemplando la seguridad desde el inicio y no hasta el

final. A esto se le conoce como SDM (por sus siglas en inglés Software Development

Methodology o Metodología de Desarrollo de Aplicaciones).

227

Hay diversas metodologías que se encuentran documentadas, por lo que es

importante conocerlas, revisarlas y ver cuál de ellas aplica para el tipo de desarrollo

que se realizará, ya que una metodología no es necesariamente apta para cualquier

tipo de proyecto.

En el desarrollo se podrá revisar si la aplicación será o no vulnerable a ataques y si

será capaz de bloquear o mitigar el daño que pueda causarle. Muchos problemas

de seguridad en aplicaciones se podrían evitar si los desarrolladores conocieran las

posibles amenazas, y aunque nos resulte increíble, hay muchos programadores que

desconocen incluso las vulnerabilidades más comunes o las mejores prácticas para

realizar los desarrollos, que debería ser algo básico en su ejercicio profesional. Los

objetivos de adoptar una metodología de desarrollo seguro son:

Contar con un proceso estructurado de desarrollo con el que se identifiquen

entradas y salidas de cada fase.

Si se contemplan productos intermedios entre cada fase.

Desarrollar aplicaciones más seguras y que manejen de forma privada la

información.

Tener una mejor planificación y control del proyecto.

Realizar pruebas de seguridad desde las fases iniciales, para ahorrar tiempo

en las mejoras necesarias.

Proveer a los usuarios finales un producto más confiable.

Hay que tomar en cuenta que un software de buena calidad no es necesariamente

seguro, ya que puede funcionar a la perfección y cumplir todos los requerimientos

para los que fue creado, pero tener huecos de seguridad, que si los aprovecha un

delincuente informático podría representar daños importantes en los equipos o la

información de los desarrolladores o sus usuarios.

228

Cuando se hacen pruebas en cualquier fase de la metodología seleccionada,

pueden producirse fallas permanentes en el sistema, sin embargo, es necesario

realizar esas pruebas para poder detectar las fallas y que se produzcan en un

ambiente controlado, y no en los equipos de los usuarios finales. Por esta razón, la

seguridad en el desarrollo es igual de importante cuando se inicia el proceso,

cuando se avanza por cada fase, cuando se finaliza la aplicación y cuando se

ejecuta por los usuarios.

CbyC (por sus siglas en inglés Correctness by Construction o Corrección por

Construcción). Este método es recomendado cuando el desarrollo requiere un alto

y riguroso nivel de seguridad que pueda ser demostrado. Uno de los objetivos de

esta metodología es tener un porcentaje mínimo de defectos y que pueda

actualizarse fácilmente ante los diferentes cambios que puedan requerirse en el

futuro. Esto se logra con la filosofía de que sea muy complejo introducir un error al

sistema, y que, si se lograra introducir, éste sea detectado y eliminado de forma

inmediata.

SDL (por sus siglas en inglés Security Development Lifecycle o Ciclo de vida de

desarrollo seguro). Microsoft propuso esta metodología para la mejora de la

seguridad en el software a través de 16 actividades que se van realizando por

etapas. Una propuesta interesante es que plantea un modelo de amenazas (threat

model) que les permite a los desarrolladores encontrar partes en el código que

pueden ser vulnerables a amenazas.

OSSTMM (por sus siglas en inglés Open Source Security Testing Methodology

Manual o Manual de Metodología de Pruebas de Seguridad de Código Abierto).

Como se indica en la página web de este proyecto (http://www.isecom.org/), fue

desarrollado por ISECOM (por sus siglas en inglés Institute for Security and Open

Methodologies o Instituto para la Seguridad y Metodologías Abiertas), que es una

organización sin fines de lucro dedicada al desarrollo de metodologías para revisar

229

la seguridad a través de la revisión de aplicaciones, el desarrollo seguro y la

capacitación y concientización en temas de seguridad. Es muy utilizada por

auditores de seguridad, ya que incluye una descripción muy detallada de lo que hay

que revisar en cada fase y propone plantillas para aplicar técnicas de hackeo ético

que permiten identificar los puntos débiles del sistema auditado. Propone tres

escenarios ante un ataque: crear una barrera lógica o física entre los activos y las

amenazas; reducir las amenazas a un estado donde el efecto dañino sea mínimo o

bien, el ideal que es anular por completo las amenazas.

OWASP (por sus siglas en inglés Open Web Application Security Project o Proyecto

Abierto de Seguridad en Aplicaciones Web). Como se indica en la página web de

este proyecto (https://www.owasp.org) OWASP es una comunidad de voluntarios

sin fines de lucro donde cualquier persona puede participar para desarrollar un

proyecto o parte de él. Esta comunidad desarrolla recursos que son ofrecidos

gratuitamente, desde aplicaciones, publicaciones, artículos, normas, entre otros, y

promueve el desarrollo de software seguro, centrándose principalmente en el "back-

end" más que en el diseño web. Entre los diferentes proyectos que tiene OWASP

está el llamado “Top 10”, que es una lista muy precisa donde se revisan los diez

riesgos de seguridad más críticos en aplicaciones, con el objetivo no sólo de darlos

a conocer, sino hacer conciencia desde los tomadores de decisiones hasta los

integrantes de los equipos de desarrollo, que sepan de su existencia, cómo

identificarlos, qué los generan, las consecuencias de tenerlos en las aplicaciones,

así como buenas prácticas para protegerse contra ellos.

230

RESUMEN

El software inseguro, tanto de sistema como las aplicaciones de usuario, debilita las

finanzas, confianza, credibilidad y la imagen de una empresa. La cantidad de

variables que intervienen dentro de un ecosistema digital hace que la seguridad sea

compleja y que siempre vaya en aumento. Lo que hoy es seguro, el día de mañana

ya no lo es tanto, y hay una carrera constante entre delincuentes informáticos y

especialistas en seguridad para ver qué protecciones son rebasadas, dejándolas

inservibles o al menos comprometidas.

Las metodologías de desarrollo seguro buscan que haya menos problemas de

seguridad, sobre todo porque se ha visto una tendencia a cometer los mismos

errores, teniendo procesos repetitivos durante varios años, y que siguen sin

arreglarse no por falta de disposición, sino de conocimiento por parte de los equipos

de desarrollo, que se especializan en conocer a profundidad los lenguajes de

programación, pero no tan a detalle la seguridad. Esto nos lleva a que los equipos

hoy deben conformarse con múltiples disciplinas para que no haya perfiles

demasiado elevados, que sean difíciles de conseguir y contratar o sean demasiado

costosos para las empresas.

La mayoría de los proyectos de desarrollo seguro han comenzado con el objetivo

de capacitar y concientizar a los desarrolladores y tomadores de decisiones en

temas de seguridad, que es un tema que se proyecta sumamente importante en los

próximos años.

231

BIBLIOGRAFÍA DE LA UNIDAD

Bibliografía sugerida

Autor Capítulo Páginas

Tanenbaum; Andrew 10. Caso de estudio 1 LINUX. 719 a 806

Tanenbaum; Andrew 11. Caso de estudio 2 Windows. 813 a 924

Gallardo; Gabriel 1. Conceptos básicos sobre la seguridad en base de datos.

18 a 29

232

UNIDAD 8 PLANEACIÓN DE LA CONTINUIDAD

DEL NEGOCIO Y DE LA RECUPERACIÓN EN CASO DE

DESASTRE (BCP/DRP)

233

OBJETIVO PARTICULAR

Al finalizar la unidad, el alumno podrá diseñar e implementar planes de contingencia

y recuperación para asegurar una pronta recuperación de la organización.

TEMARIO DETALLADO

(4 horas)

8. Planeación de la continuidad del negocio y de la recuperación en caso de

desastre (BCP/DRP)

8.1. Planeación de la continuidad del negocio (BCP)

8.1.1. Planeación y alcance del proyecto

8.1.2. Evaluación de impacto en el negocio (BIA)

8.1.3. Estrategias de contención

8.1.4. Estrategias de recuperación

8.1.5. Desarrollo del plan de recuperación

8.1.6. Implementación del plan

8.2. Plan de recuperación en caso de desastre (DRP)

8.2.1. Desarrollo del plan de recuperación

8.2.2. Implementación del plan

8.3. Elementos del plan de continuidad del negocio

8.4. Eventos BCP/DRP

234

INTRODUCCIÓN

Cuando se presenta alguna situación inesperada, lo lógico es que tardemos en

reaccionar de la mejor manera, pero ¿qué pasaría si estuviéramos preparados? Lo

más probable es que sepamos cómo actuar y que sea en nuestro beneficio, ya que

se pensó de forma anticipada al suceso, se evaluaron diferentes soluciones y se

seleccionó la más apropiada en cada caso.

Cuando hablamos de seguridad informática, tenemos herramienta de prevención

ante situaciones de ataques, desastres o bien malos manejos de alguna de las

variables que componen nuestro ecosistema digital, por ejemplo, alguna cuenta de

usuario. Se debe pensar en cómo nos podemos recuperar ante algún suceso, saber

con antelación el impacto que tendría si fuera exitoso un ataque y qué plan podemos

seguir antes de que ocurra, en el momento en que está ocurriendo o bien una vez

que ha pasado el suceso. Si tenemos esto contemplado y lo hemos dejado por

escrito, podemos denominar a esta herramienta nuestro plan de contingencia y

recuperación.

El análisis de los riesgos es algo que debemos considerar en la seguridad

informática; así como no hay algo 100% seguro, tampoco estaremos nunca exentos

de que suceda algún tipo de desastre y se debe planear qué hacer antes, durante y

después del desastre.

Tanto el plan de contingencia como el de recuperación, permiten conocer los pasos

a seguir para actuar de forma asertiva ante una situación negativa, para tratar de

minimizar los daños o cualquier efecto no deseado.

Este plan puede llegar a incluir algunas generalidades que apliquen a una gran

cantidad de empresas; pero, por lo general, hay que analizar los riesgos de la

235

empresa que se desea asegurar, para que de forma efectiva podamos discernir si

es o no susceptible a ciertos riesgos.

236

8.1. PLANEACIÓN DE LA CONTINUIDAD DEL NEGOCIO (BCP)

Una forma sencilla de entender de qué trata la planeación de la continuidad del

negocio (en inglés BCP de Business Continuity Plan), es pensar qué debemos hacer

para recuperarnos de cualquier situación problemática que pueda impactar

negativamente a la empresa u organización.

Las situaciones que afectan a la empresa de forma negativa pueden ser desde

ataques informáticos como virus, phishing, malware, ransomware; o bien desastres

naturales como sismos, huracanes, tsunamis, incendios, inundaciones, entre otros.

Debemos estar preparados siempre ante cualquier situación negativa que pueda

ocurrir, para saber cómo actuar y cómo podemos continuar la operación con el

menor daño posible.

Los planes de contingencia son herramientas ante la prevención de desastres en

donde se indican las acciones que se deben seguir paso a paso ante cada situación;

y aunque es una buena práctica contar con ellos, son pocas las empresas que los

desarrollan como medida preventiva o bien no los tienen por escrito en un

documento que puedan conocer y consultar todos los colaboradores.

8.1.1. Planeación y alcance del proyecto

Desafortunadamente, muchas empresas van construyendo un manual conforme les

van sucediendo algunas situaciones negativas, es decir, no tienen una planeación.

Los desastres en general no podemos prevenirlos, pero sí podemos hacer un

análisis de las actividades que tiene una empresa y deducir a qué tipo de desastres

es más propensa.

237

Por ejemplo, no es lo mismo la actividad de un banco que la de un centro de atención

telefónica, ya que, de ambos, seguramente el banco será más atacado por

ciberdelincuentes. Pero ahora ubiquemos el banco en una zona urbana y el centro

telefónico en una zona donde al menos una vez al año se presentan huracanes, y

entonces tendremos una empresa que es altamente probable que tenga que pasar

por un desastre natural.

Se puede tomar en cuenta lo definido en la Norma ISO 31000:2009 que indica los

principios generales para la administración de cualquier tipo de riesgo, sin enfocarse

a algún tipo de industria o sector de la empresa.

Las empresas, por lo general, ya tienen un historial de los ataques que han

detectado; así como los desastres a los que ha estado expuesta, y a ello se deben

enfocar los esfuerzos en primera instancia; si tomamos el historial de otra empresa,

el resultado naturalmente no será el óptimo.

En sus inicios, ARPANET se concibió como una red que pudiera recuperarse ante

un desastre, teniendo varias rutas posibles para poder enviar la información a su

destino. Con esta misma filosofía podemos ver la planeación que debemos hacer:

diseñar un plan que por diferentes vías nos permita poder continuar la operación, y

si es necesario, recuperar lo que hayamos perdido a causa del desastre. Para esto,

es necesario elaborar dos planes: uno de continuidad del negocio y otro

complementario, para la recuperación.

Un plan de continuidad establece los pasos y las herramientas que deben seguirse

en caso de que ocurra un desastre que afecte la operación de la organización y que

pueda seguir su operación. Para esto, debemos conocer detalladamente las tareas

cotidianas, las que tienen prioridad y las que son de un nivel crítico, así como definir

distintos niveles de desastre. Eventos como el sismo ocurrido en México el 19 de

septiembre de 2017 hicieron evaluar a muchas empresas si podían sobrevivir ante

238

desastres de esa naturaleza, perdiendo no sólo edificios y cosas materiales, sino

incluso vidas. La realidad es que muchas de ellas no tienen planes de continuidad

de negocio que puedan asegurarles su supervivencia ante hechos tan dramáticos.

En el caso de un plan de recuperación, se toma como una estrategia que

complementa al plan de continuidad; donde se definen las acciones necesarias para

que una organización que sufre un desastre mayor pueda seguir operando, y a corto

o mediano plazo recupere su operación habitual.

Justo este es el alcance de nuestro proyecto, poder continuar la operación ante un

desastre, bajo condiciones extraordinarias, y que, en un corto o mediano plazo se

recupere la operación normal.

No se debe idealizar, sino de una forma objetiva definir objetivos, y también como

área de seguridad en TIC (Tecnologías de información y comunicación), se debe

contar con una misión y visión, no de la organización en general, sino de esta área

en específico.

8.1.2. Evaluación de impacto en el negocio (BIA)

El análisis de impacto del negocio, BIA (por sus siglas en inglés Business Impact

Analysis), ayuda a identificar de forma precisa los procesos de cada área de la

empresa y analizar su nivel de impacto en la gestión del negocio.

Se identificarán los procesos críticos que afectan a los activos y a los clientes, la

información que se debe proteger, las áreas esenciales para la operación y todo el

trabajo que debe realizarse para que después de un desastre de disponga de los

sistemas, datos, infraestructura tecnológica y recursos humanos necesarios para

mantener al menos un mínimo porcentaje de operación en la empresa.

239

En este análisis, se deben identificar las amenazas al negocio y establecer

escenarios de siniestros, evaluando su impacto en la organización. Por ejemplo, la

operación de una empresa puede interrumpirse por retrasos en la entrega de los

proveedores de bienes o servicios o bien por su suspensión. Si llega a ocurrir que

hay desabasto de gasolina en una ciudad grande como la Ciudad de México, es

necesario ser creativo y definir escenarios y posibles soluciones a considerar.

Identificar y evaluar el impacto de un desastre en una empresa nos dará una base

para definir estrategias de recuperación, así como la inversión que se debe realizar

para prevenirlos o bien mitigarlos.

De acuerdo con algunos puntos que se toman a consideración del BIA, se debe

identificar el impacto operativo y financiero que desencadena interrumpir las

operaciones, por lo que hay que considerar:

El BIA identifica el impacto operativo y financiero que desencadena interrumpir las

operaciones, por lo que hay que considerar:

Sanciones por contratos.

Ventas perdidas.

Falta de ingresos.

Aumento en los gastos.

Pérdida de confianza por parte de los clientes.

Pérdida de nuevos negocios o clientes.

Retrasos en la entrega de bienes o servicios pactados. (Serra, 2009)

El tiempo que dura un desastre, también es un elemento importante para tomar en

cuenta. La falta de energía eléctrica por unos minutos puede parar la operación de

cobranza de la empresa, pero si dura horas, es muy probable que perdamos la

oportunidad de venderle a más clientes. Si hay desabasto de gasolina por días se

240

puede generar un problema en la entrega de algún producto, pero si dura semanas,

puede llegar a colapsar la operación, generando un impacto negativo.

Se puede utilizar un cuestionario BIA para encuestar a los mandos medios y altos

de una empresa, pero los que más nos aportarán datos relevantes son aquellos que

conozcan detalladamente cómo funciona la operación de la empresa desde que

realiza un producto hasta que lo entrega. Identificando a ese personal, se les puede

pedir que piensen en el posible impacto si se interrumpe la parte del proceso en el

que trabajan.

Una vez que se tienen las respuestas a la encuesta, se debe elaborar un informe

que documente el impacto de cada escenario de interrupción de negocio, y esto

debe evaluarse desde diferentes perspectivas: legal, financiero, operación,

seguridad, entre otras; lo cual ayudará a planificar diferentes estrategias de

recuperación.

Después de este análisis y propuestas, se deberán dar prioridad a los eventos que

impacten de forma más negativa al negocio, ya que esos serán los que deberán

reestablecerse primero.

En este punto, debemos mencionar a los RFC (por sus siglas en inglés Request For

Comments o Solicitud de Comentarios) que con documentos que a la larga pueden

llegar a convertirse en estándares y son administrados por el IETF (por sus siglas

en inglés Internet Engineering Task Force o Grupo de Trabajo de Ingeniería de

Internet), que las pone a disposición del público en general.

Como indica Gómez en la Enciclopedia de la Seguridad Informática (2011, p. 302),

los documentos RFC 1244 y RFC 2196 proponen la jerarquización de las

actividades a realizar de un equipo de respuesta a incidentes de la siguiente

manera:

241

Prioridad Acción

1 Proteger la vida y la seguridad de las personas.

2 Proteger datos e información importante para la organización.

3 Proteger otra información de la organización.

4 Prevenir daños en los sistemas informáticos por pérdida o modificación de archivos).

5 Minimizar la interrupción de los servicios ofrecidos a los distintos usuarios, ya sea internos o externos.

Tabla 8.1. Jerarquización de actividades de un equipo de respuesta a incidentes.

8.1.3. Estrategias de contención

En el plan de respuesta a incidentes, el equipo de respuesta debe seleccionar una

estrategia de contención del incidente de seguridad. Por ejemplo, una primera

opción puede ser actuar rápidamente para evitar que el incidente crezca y que por

lo tanto su alcance de daño sea mayor. Las acciones que se puede elegir son:

apagar los equipos que han sido afectados, aislarlos de la red, desactivarles

servicios, activar un servidor secundario con un respaldo, entre otros. Esta

estrategia de contención es adecuada cuando se sabe qué equipos son los que han

sido comprometidos y si alguno de ellos puede poner en riesgo la actividad crítica

de la organización.

Una alternativa secundaria es retrasar la contención para revisar con más detalle

qué tipo de incidente se está efectuando y averiguar su origen. Si es posible realizar

una monitorización a pesar del incidente que está ocurriendo, podría ser una buena

elección para reunir evidencias y controlarlo desde su raíz, para que una vez

identificado se puedan realizar las acciones informáticas y legales que

242

correspondan; sin embargo, podrían desatarse mayores consecuencias para la

organización o sus clientes.

En algunos tipos de ataques, por ejemplo, DoS o DDoS, podría necesitarse el apoyo

del ISP o de administradores de otras redes para poder contener el ataque y dar

solución a los usuarios para que tengan acceso a sus servicios.

8.1.4. Estrategias de recuperación

Adicionalmente al plan de continuidad, se debe desarrollar un plan de recuperación

del negocio en caso de que suceda algún incidente dentro de la organización, en el

cual se afecte alguna parte del ecosistema digital. El plan de recuperación incluye

un procedimiento a seguir por parte de los administradores de la organización, para

que recuperen lo antes posible la operación normal ante un incidente de seguridad.

El plan debe definirse determinando los riesgos que podrían impactar de forma

crítica la operación de la organización, definiendo diferentes opciones de

recuperación: Por ejemplo, se puede definir trabajar con servidores en paralelo que

puedan continuar la operación normal en caso de un ataque a los servidores

principales. Para esto, es necesario contemplar la reinstalación de sistemas

operativos y aplicaciones, hacer uso de respaldos seguros, desactivación de

servicios, cambio de contraseñas, desactivación de cuentas, entre otros; para al

final realizar pruebas que nos aseguren el restablecimiento del servicio y su correcto

funcionamiento.

243

8.1.5. Desarrollo del plan de recuperación

La norma BS 25999 (Estandars Centre, 2019), indica cómo debe realizarse la

gestión del plan de continuidad del negocio, enfocado primordialmente a la

disponibilidad de la información, que es un activo identificable en cualquier

organización. Esta norma consiste en una serie de “buenas prácticas” que

facilitarían la recuperación de los recursos que permiten operar de forma normal a

una empresa en caso de desastre; tomando en cuenta infraestructura tecnológica,

recursos humanos y sistemas.

La norma consta de dos partes: La primera es un documento de orientación que

proporciona recomendaciones prácticas para la BCM (por sus siglas en inglés

Bussines Continuity Management o Gestión de la Continuidad del Negocio), y la

segunda indica los requisitos para tener un sistema de gestión de la continuidad.

Una parte importante de esta norma es el desarrollo del sistema de gestión de

continuidad del negocio, cuyos puntos clave son:

a. Planificación de requisitos. Donde se desarrollan los antecedentes, objetivos,

alcances y requisitos que tiene el plan.

b. Suministradores y subcontratistas. Se analiza qué capacidad tienen los

proveedores y subcontratistas para dar continuidad al negocio.

c. Política. Define acciones a seguir para la gestión de la continuidad del

negocio.

d. Provisión de recursos. Indica qué recursos humanos, financieros, sistemas,

entre otros, son necesarios para que funcione el sistema de gestión.

e. Formación, concientización y competencia. Se identifican las competencias

del personal que interviene en el sistema de gestión de la continuidad del

negocio, y en caso de que no tengan las competencias requeridas, se les

capacita en lo que sea necesario.

244

f. Documentación y registros. Se desarrollan los documentos que definen al

sistema de gestión, desde su análisis hasta su implementación.

8.1.6. Implementación del plan

Basándonos en lo que se menciona en la Guía de desarrollo de un plan de

continuidad de negocio, cuando ya se ha desarrollado la documentación del sistema

de gestión, hay actividades que deben realizarse, como:

a. Análisis de impacto en el negocio. Determinar las repercusiones de

distintas situaciones que pudieran provocar la interrupción del negocio.

b. Análisis de riesgos. Se identifican las amenazas y vulnerabilidades que

tienen las actividades críticas de la organización.

c. Opciones de tratamiento del riesgo. Se visualizan opciones para mitigar

los riesgos en caso de que la probabilidad de ocurrencia de la interrupción

sea alta, o bien que se limite su duración. Un ejemplo es el desabasto de

gasolina, que hace unos meses en México, por ejemplo, hubiera parecido

con una probabilidad baja, pero que ya tiene una ocurrencia, por lo que

se deben tener escenarios para solventar esa problemática, y definir

cuánto puede durar esa solución en caso de que el problema de

desabasto se alargue.

d. Opciones de continuidad de negocio. Se definen las tareas que deben

realizarse para que la organización realice nuevamente sus actividades

definidas como críticas, en el menor tiempo posible.

e. Actividades de respuesta. Se definen los procesos que responderían ante

una interrupción de las operaciones normales y se realiza la gestión de

las actividades de recuperación del negocio.

f. Planificación documentada. Todos los planes deben quedar por escrito y

hacerlos del conocimiento de los involucrados que tendrán

responsabilidad de alguna de las tareas. Deben ser muy precisos,

245

indicando las actividades y tiempos en los cuales debe realizarse cada

tarea, quiénes son los responsables de tomar decisiones, de ejecutar

cada actividad y si hay agentes externos contemplados.

g. Ejercicios. Con la documentación y el pleno conocimiento de ella por parte

del personal de toda la organización (aun cuando no sean los

responsables de alguna actividad) se deben realizar simulacros para

realizar las actividades en los tiempos indicados y revisar que los planes

se cumplan a cabalidad.

h. Revisión de planes y estrategia. Cuando se realizan los ejercicios, se

puede revisar si todo lo indicado en los planes aplica en las condiciones

actuales de la organización o si es necesario afinar algo.

i. Revisión del sistema de gestión de la continuidad del negocio. Los

ejercicios deberán auditarse, es decir, deberán documentarse y hacerse

periódicamente para asegurar que se cumple con las tareas y objetivos

previstos, comprobando que funcionan para reactivar la actividad

primordial de la organización en los tiempos esperados. (INCIBE, Sin

año).

246

8.2. Plan de recuperación en caso de desastre (DRP)

Cuando se realice un plan de recuperación en caso de desastre, lo primero que

debemos hacer es definir su alcance, identificando los procesos que son necesarios

para la continuidad de las operaciones y su vuelta a la normalidad.

La primera decisión que debe realizarse es si se dará continuidad a las tareas que

se realizan de forma secundaria en la organización, o si la operación de

recuperación debe contemplar solamente las actividades prioritarias; o bien en qué

tiempo deberán ser tomadas en cuenta todas. Esta etapa de planificación debe estar

alineada con una política dictada desde la dirección de la empresa, para que se

asignen los recursos necesarios.

En cualquier caso, un paso primordial es conocer muy bien la organización, ya que

de tomarse en cuenta acciones que no son necesarias, o bien omitir otras, puede

derivar el fracaso de nuestro plan.

8.2.1. Desarrollo del plan de recuperación

Hay cinco aspectos del plan de recuperación que se proponen de acuerdo con

Baca (2016, p. 260):

Equipos del área informática que pueden sufrir un daño irreparable en un

incidente. Esto puede ser desde equipos de cómputo, de telecomunicaciones

o incluso partes del inmueble en donde se resguardan los bienes

informáticos, puesto que éste puede resultar dañado por incendio, sismo o

inundación, entre otros.

Determinar la logística necesaria para reiniciar el funcionamiento del negocio:

Se identifican las actividades consideradas como críticas que deban

247

atenderse y ponerse en funcionamiento en primer lugar, así como los

recursos tanto humanos como tecnológicos necesarios para llevarlo a cabo,

y el tiempo que se llevará el proceso.

Asignar responsabilidades en un organigrama elaborado en exclusiva para

casos de riesgos catastróficos: Esta asignación de responsabilidades

identificará al personal que llevará a cabo la recuperación en caso de un

evento catastrófico, el cual no necesariamente tendría que ser el mismo que

realiza la operación normal, sino podría ser alguien de la misma empresa

pero de otra sucursal, o bien la contratación de una empresa externa que

sepa de forma precisa lo que debe realizar en el plan de corrección y

recuperación.

Determinar los costos que implica adoptar el plan de corrección y

recuperación: Implica los costos que se deriven de la adquisición o renta de

equipo tecnológico, contratación de una empresa o personal adicional, entre

otros gastos que contemplen los planes.

Delinear un programa de simulacros de catástrofes: Se deben realizar

auditorías periódicas para verificar en simulacros que el personal sabe sus

responsabilidades y llevan cabalmente las actividades de los planes

desarrollados, así como revisar que las medidas siguen vigentes al momento.

8.2.2. Implementación del plan

Con la documentación que se realiza en los planes de corrección y continuidad del

negocio, será posible que los responsables de implementarlos puedan tomar la

decisión más adecuado en caso de un desastre. Es deseable tener dos o más

opciones para cada caso, tener una sola es inadmisible, ya que entonces la única

decisión que se tendría que tomar sería la de ejecutar el plan o no.

248

En cualquiera de los planes, el objetivo es la eficacia y la eficiencia, donde la eficacia

es que cuando se aplique el plan éste funcione de la forma esperada; y la eficiencia

se entiende en términos de que el plan funcione al menor costo posible, sin disminuir

la eficacia.

Cada plan deberá alinearse con la misión y la visión general de la organización, así

como con la misión y la visión del área de TIC.

Se debe también tener honestidad por parte del área de TIC, al preguntarle de las

condiciones de seguridad física y lógica del área, deberá indicar si saben de algún

riesgo que nadie haya contemplado, incluso si hay personal que pudiera representar

un riesgo en la seguridad. Adicionalmente, las personas se deben conducir

éticamente, es decir, sin aprovechar ninguna situación para un beneficio personal,

sin divulgar información de la organización o dar accesos a personas no autorizadas

por la empresa misma.

Finalmente, debe haber compañerismo, entendiendo que el personal estará en la

mejor disposición de ayudar a resolver situaciones negativas, problemas o bien

apoyar a los demás compañeros de trabajo, incluso a aquellos que no sean de su

misma área.

Estos conceptos debe darlos a conocer el director general de la organización a todo

el personal, mantenerlos visibles en las oficinas para que todos se familiaricen con

él, de modo que lleguen a ser parte de la cultura de la organización.

Cualquier tipo de plan, adopción de normas, políticas, etcétera, tienen éxito

solamente cuando son promovidos directamente por la dirección general. Entonces

los planes deberán ser del conocimiento de todos y realizar las auditorías para

mejorarlos y que cada uno asuma la responsabilidad asignada.

249

8.3. Elementos del plan de continuidad del negocio

La norma ISO 22301 nos da elementos para responder ante una contingencia y dar

continuidad al negocio. Los elementos del plan a tomarse en cuenta son:

1. Identificación de las amenazas. Se crea una lista de los incidentes que se hayan

manifestado para una organización en particular, donde haya un claro riesgo de que

se pueda interrumpir su actividad. También se consideran amenazas a otras

empresas que sean similares a la que se trata de proteger.

2. Análisis del impacto en la empresa. Se debe conocer muy bien a la organización

y sus partes críticas. En esta parte se detalla cada parte de la organización: el

personal, sus funciones, los procesos, los sistemas y todo lo que es crítico para su

buen funcionamiento. Después de esto, se determina cuánto tiempo puede

sobrevivir la organización sin que alguno de esos elementos provoque un impacto

catastrófico en caso de no estar presente.

3. Crear un plan de respuesta y recuperación. Se toman en cuenta los elementos

clave para la realización de las funciones críticas, tanto de infraestructura, recursos

humanos, sistemas, bienes, proveedores y clientes. Luego de esto, se debe

identificar quién puede resolver cada tipo de incidente, ponerlo al tanto de su

responsabilidad e incluso definir personas secundarias que puedan ayudar en la

recuperación.

Se deben poner en orden de importancia jerárquica las operaciones principales y si

dependen de más de un agente. Cuando el plan ya está desarrollado debe darse a

conocer a los tomadores de decisiones y, luego de afinarlo, a todo el personal.

4. Probar el plan y refinar el análisis. El plan debe auditarse al menos una vez al

año, tomando decisiones y haciendo los pasos definidos hasta lograr recuperar

250

primero la operación básica y luego dando normalidad a todas las funciones de la

organización. Estos ejercicios permiten encontrar fallas, datos desactualizados o

bien su mejora continua, así como la sensibilización de todo el personal de la

organización ante su importancia.

251

8.4. Eventos BCP/DRP

En el área de seguridad informática, por lo general, se contemplan dos tipos de

riesgos: los físicos y los lógicos, pero también deben tomarse en cuenta los

desastres naturales que pueden provocar que una organización detenga sus

operaciones.

Riesgos físicos internos

a. Fallas en el funcionamiento de los equipos.

b. Llenado de la memoria del sistema.

c. Acceso no autorizado a los equipos personales o a los servidores.

d. Fallas en la conexión a la red.

e. Renuncia de personal molesto con la organización.

f. Ingeniería social.

g. Acceso de gente no autorizada a las oficinas.

h. Incorrecta ubicación del site de una organización.

i. Interrupción del servicio de energía eléctrica.

Riesgos físicos externos

a. Poca protección de las personas e instalaciones contra desastres naturales.

b. Poca protección de las personas e instalaciones contra manifestaciones,

terrorismo, vandalismo, eventos políticos, financieros o sociales.

Riesgos lógicos

a. Suplantación de la identidad de personas o equipos (spoofing).

b. Ataques a servidores de la web.

c. Inyección de datos.

d. Spam.

e. Phishing.

252

f. Ataques con sniffers.

g. Instalación de keyloggers.

h. Ataques con analizador de puertos.

i. Virus informáticos.

j. Spyware.

k. Negación del servicio (DoS o DDoS).

l. Ransomware (hijacking).

m. Y los que vayan surgiendo

Desastres naturales

a. Sismos.

b. Terremotos.

c. Inundaciones.

d. Huracanes

e. Tsunamis.

f. Descargas eléctricas.

g. Incendios.

h. Erupciones volcánicas.

i. Epidemias.

j. Ciclones.

k. Olas de calor.

253

RESUMEN

Ante tantos sucesos negativos que pueden ocurrirle a una organización, lo mejor es

la prevención, pero, para esto, debemos conocer primero contra qué hay que

prevenirse y la forma en la que podemos lograrlo con las características y recursos

de una determinada organización, ya que obviamente no todas operan de la misma

manera, incluso aunque sean del mismo ramo.

Una vez que se identifican las particularidades de la organización, se debe iniciar la

elaboración del plan de prevención de contingencias; posteriormente, el plan de

corrección o continuidad del negocio y mantener la operación hasta que se

regularicen las condiciones en las que normalmente se trabaja.

Es una tarea ardua, ya que este trabajo para ciertas personas puede significar

tiempo perdido, ante la cantidad de cosas urgentes que deben atender en el día a

día; contar con estos planes puede marcar la diferencia entre seguir la operación a

futuro de la empresa o bien incurrir en gastos inesperados que a corto o mediano

plazo hagan inviable que la organización continúe siendo un negocio rentable y

sostenible, lo cual involucra la pérdida de trabajo para todos los empleados de los

distintos niveles.

La prevención es algo que por lo general las organizaciones no toman en cuenta,

pero al sensibilizar ante este tema a los directores de empresas y tomadores de

decisiones, por lo general terminan desarrollando lo necesario para asegurar su

negocio.

254

BIBLIOGRAFÍA DE LA UNIDAD

Bibliografía sugerida

Autor Capítulo Páginas

Baca, Gabriel 6.3 Determinación de parámetros

antes de elaborar los planes

246 -247

Gómez, Álvaro 9.2 Respuesta a incidentes de

seguridad y planes para la

continuidad del negocio

302

255

UNIDAD 9

LEGISLACIÓN, REGULACIONES,

CUMPLIMIENTO E INVESTIGACIÓN

OBJETIVO ESPECÍFICO

Al finalizar la unidad, el alumno tendrá los conocimientos necesarios de las normas

que regulan y protegen la seguridad de la información y las consecuencias de que

esta última sufra algún percance.

TEMARIO DETALLADO

(4 horas)

9. Legislación, regulaciones, cumplimiento e investigación

9.1. Ética

9.1.1. Código de ética (ISC)2

8.1.2. RFC 1087 - Internet Activity Board: "Ética y el internet"

9.2. Investigaciones

9.2.1. Evidencia

9.2.2. Procesos de investigación

9.2.3. Técnicas de interrogación

9.2.4. Confidencialidad interna y externa

9.2.5. Principales categorías de crímenes computacionales

9.3. Manejo de incidentes

9.4. Leyes

9.5. Licencias

9.5.1. Propiedad intelectual

9.5.2. Importación / exportación

9.5.3. Responsabilidad legal

9.5.4. Tráfico internacional de datos

257

9.6. Principales tipos de leyes

9.6.1. Ley criminal

9.6.2. Ley civil

258

INTRODUCCIÓN

Desde los inicios de la informática ha habido una preocupación por el robo de

programas, su utilización sin permiso y la reproducción y distribución ilícita de los

mismos. Ahora con el uso de Internet se tienen nuevos problemas relativos al

manejo de la información, su transmisión y almacenamiento en servidores, además

de la aparición de otros ataques como virus, malware, phishing, ransomware, entre

otros. Esto ahora se conoce como ciberdelincuencia y afecta desde diferentes

ángulos tanto a las empresas como a sus clientes. Las acciones de la delincuencia

informática han redundado en pérdidas millonarias, por lo que se ha tenido la

necesidad de regular las leyes para castigar a las personas que incurran en los

ataques.

En México las empresas casi no invierten en temas de seguridad, lo que hace muy

atacables sus sistemas, tanto en el sector público como en la iniciativa privada,

aunque ésta última tiene un gasto un poco mayor en la seguridad informática y es

la que, por lo general, demanda las regulaciones legales en esta materia.

El reto, actualmente, es proteger la propiedad intelectual, las transacciones

realizadas por comercio electrónico, las comunicaciones, la infraestructura

tecnológica, la privacidad de los datos, entre otras muchas situaciones relacionadas

con la seguridad de la información, así como a las personas y sus bienes.

259

9.1. Ética

La ética en la seguridad informática es lo que le hará saber a un auditor de

seguridad, de acuerdo con sus conocimientos y experiencia, qué acciones están

bien o mal, qué es peligroso y qué no, o bien, qué es legal o ilegal.

En la jerga de la seguridad se habla mucho de hackers en general, pero hay que

definirlos correctamente, ya que hay varios tipos: hackers éticos, crackers, hacker

de sombrero gris, negro o blanco. El término “hacker ético” define a un auditor de

seguridad que no hará daño en los sistemas o la infraestructura tecnológica que

audita, por el contrario, los evaluará y hará recomendaciones para mejorar la

seguridad de acuerdo con los problemas que haya encontrado.

La ética también se refiere a la forma de conducirse de una persona dentro de una

organización, ya que a pesar de que se le otorguen ciertos permisos dentro de los

sistemas, podrá hacer un uso adecuado y esperado de los mismos, sin dañarlos o

utilizarlos para un beneficio propio, en vez del de la empresa.

9.1.1. Código de ética (ISC)2

El ISC2 (por sus siglas en inglés Information Systems Security Certification

Consortium o Consorcio internacional de Certificación de Seguridad de Sistemas de

Información), es una organización que capacita y certifica a profesionales de

seguridad en informática.

Quienes estudian para esta certificación se comprometen a apoyar el código de

ética, con la política de que quien no lo lleve a cabo, quedará a disposición de las

acciones que decida el comité de certificación, pudiendo tener la más grave

amonestación, que es la revocación de la certificación.

260

Existen cuatro principios obligatorios en su código de ética, los cuales son:

Proteger a la sociedad, el bien común, la confianza pública y la

infraestructura.

Actuar de manera honrosa, honesta, justa, responsable y legal.

Proporcionar un servicio diligente y competente a los directores.

Avanzar y proteger la profesión. (ISC, 2019)

Ante esto, podemos observar que un profesional puede contar con conocimientos

para revisar las vulnerabilidades o riesgos que tiene un sistema, pero nunca se

aprovechará de ellos para hacer daño; se conducirá por la vía de la legalidad y

proporcionará recomendaciones para proteger los sistemas de los problemas que

haya encontrado. Todo esto es lo que por lo general hace un hacker ético (ethical

hacker) o también conocido como hacker de sombrero blanco.

Todos los profesionales de seguridad de la información que están certificados por

(ISC)² reconocen que dicha certificación es un privilegio que debe obtenerse y

mantenerse. Como regla, todos los miembros de (ISC)² deben comprometerse a

apoyar plenamente su código de ética, y está establecido que quienes violen

cualquier disposición del código estarán sujetos a la acción de un panel de revisión

por pares, que podrá derivar en la revocación de la certificación.

Los miembros de (ISC) están obligados a seguir el procedimiento de quejas de ética

al observar cualquier acción realizada por un miembro de (ISC)² que infrinja el

código, y no hacerlo también es una infracción al código.

Código de ética preámbulo:

261

La seguridad y el bienestar de la sociedad y el bien común, el deber para con

nuestros directores y con los demás, requiere que nos adhiramos y veamos

que los demás se adhieran a los más altos estándares éticos de

comportamiento.

Por lo tanto, el cumplimiento estricto de este Código es una condición para

la certificación.

Código de ética de los cánones:

Proteger a la sociedad, el bien común, la necesaria confianza pública, y la

infraestructura.

Actuar de manera honrosa, honesta, justa, responsable y legal.

Proporcionar un servicio diligente y competente a los directores.

Avanzar y proteger la profesión. (ISC, 2019)

9.1.2. RFC 1087 - Internet Activity Board: "Ética y el Internet" En 1989, el Internet Architecture Board (IAB por sus siglas en inglés o Junta de

Arquitectura de Internet) emitió una política denominada RFC 1087 (Network

Working Group, 1989), que trata sobre Internet y su uso ético; de esto también se

comenta en el libro Official (ISC)2 Guide to the CISSP CBK, y quedan definidas como

actividades poco éticas e inadmisibles, las siguientes:

262

Figura 9.1. Actividades que son consideradas como “poco éticas” e inadmisibles.

Si incurrimos en cualquiera de ellas, de forma consciente y premeditada,

estaremos comportándonos de forma no ética e inadmisible.

Obtener acceso no autorizado a los recursos de Internet.

Interrumpir el uso de Internet.

Desperdiciar recursos (gente capacidad o computadoras) a través de esas acciones.

Destruir la integridad de la información basada en computadora.

Comprometer la privacidad de los usuarios.

263

9.2. Investigaciones

Cuando se comete un delito informático se deben tener políticas para responder

ante el hecho, así como un equipo de respuesta que pueda investigar qué sucedió,

el impacto y proponer soluciones a corto, mediano y largo plazo.

La realidad es que ante el impacto que se ha tenido en este campo en los últimos

años, se ha visto la necesidad de tener una rama en el tema de la seguridad,

llamada informática forense, que es la encargada de analizar información acerca de

la intrusión, revisar el tipo de ataque, dónde se originó, si se pueden encontrar a los

responsables, aportar pruebas, y en su caso, trabajar con la policía para resolver el

delito y tomar las acciones legales que correspondan. Como a algunos ataques les

corresponden acciones legales en contra de los perpetradores, los afectados

pueden iniciar una demanda.

Hay una metodología forense que propone Baca (2016, p. 272) en donde sigue el

método científico para realizar las investigaciones:

264

Figura 9.2. Método científico para realizar las investigaciones forenses.

Sigamos un ejemplo en donde se efectúen estos seis pasos:

a. El área de informática de una empresa detecta que algunas cuentas

de sus colaboradores han sido robadas.

b. El área de informática junto con el equipo de seguridad hacen una

revisión rápida de sus controles y no logran detectar intrusiones en la

red, servidores o base de datos: todo parece normal, por lo que supone

que los colaboradores han sido engañados a través de correos usando

phishing.

c. El área de seguridad inicia una investigación forense con la ayuda del

área de informática y los colaboradores que presentaron el problema

en sus cuentas, obteniendo todos los datos posibles de la forma en la

que manejan sus cuentas, las acciones que hizo cada uno.

d. Como en la hipótesis se tiene previsto que pudo haberse tratado de

phishing, realizan una búsqueda en los correos y el historial de

navegación, para verificar las acciones que los usuarios realizaron.

1. Identificar el problema que se pretende resolver.

2. Planteamiento de una hipótesis

3. Búsqueda de fuentes de información

4. Diseño de un procedimiento para verificar la hipótesis.

5. Análisis de los datos recabados.

6. Presentación de resultados.

265

Buscan toda la información dentro de las bitácoras del sistema

operativo de los usuarios, así como de los sitios sospechosos que

puedan recabarse de los equipos de telecomunicaciones.

e. El equipo de seguridad debe revisar toda la información recabada y

analizar qué es lo que sirve, lo que no y lo que puede servir como

prueba para tomar acciones legales.

f. El equipo de seguridad presenta los resultados de la investigación,

respaldados por las pruebas obtenidas en la investigación, para que a

partir de ellos se corrobore o no la hipótesis, y se deslinden

responsabilidades, o bien se tomen acciones legales.

El ataque informático puede o no desencadenar acciones legales, por lo que pueden

presentarse cuatro escenarios:

Figura 9.3. Acciones legales que puede desencadenarse por un ataque informático.

1• Identificar al culpable del ataque y tomar acciones legales.

2• Identificar a la persona inocente y tomar acciones legales.

3

• Identificar al culpable, pero sin posibilidad de ejercer una acción legal en contra de la persona, por falta de pruebas.

4

• Identificar y detener las acciones legales que se hayan ejercido contra una persona inocente.

266

Si el delito es merecedor de una acción legal, la empresa puede decidir ejercerla de

forma pública o privada, aunque éticamente lo mejor es que cuando se involucran

los datos de terceros, se deberá hacer público que fueron objeto de un delito

informático para que los afectados puedan tomar acción preventiva o correctiva; por

ejemplo, si una empresa conoce por medio de una investigación que le fueron

robados cuentas de usuario, debería darlo a conocer en breve a sus usuarios para

que ellos puedan cambiar sus contraseñas y reduzcan la posibilidad de un ataque

exitoso a su información.

267

9.2.1. Evidencia

Gómez (2011, p. 314) define evidencia como aquella información que podrá ser

capturada y analizada posteriormente para interpretar de la forma más exacta

posible en qué ha consistido el incidente de seguridad, qué daños ha provocado,

cuáles son sus consecuencias y quién pudo ser el responsable.

Cuando se tiene la posibilidad de ejercer una acción legal ante un delito informático,

la recolección de evidencia debe realizarse a través de protocolos perfectamente

definidos que tengan un carácter probatorio conforme a la ley del país / ciudad en

donde se llevará a cabo la demanda. Estos protocolos se conocen como la cadena

de custodia, que es un procedimiento establecido y controlado para recabar,

conservar y entregar todas las pruebas y que se les valore como tales, de forma

que no haya dudas de si han sido alteradas, fabricadas o que de alguna forma

marquen una cierta tendencia, a interés de quienes realizaron la recolección.

Ante lo anterior, vemos que no es sólo cuestión de encontrar pruebas del ataque,

es necesario que la prueba se conserve y no se altere, de lo contrario no se podrá

utilizar como una evidencia confiable y la posibilidad de llevar a cabo sanciones

legales para resarcir el daño es remota.

El tratamiento que se da a las evidencias es el mismo que el que se sigue en la

búsqueda de evidencias cuando se comete un delito que no es informático, con la

singularidad de que a veces las evidencias digitales pueden llegar a ser volátiles,

pueden desaparecer o eliminarse si se cuenta con los conocimientos para hacerlo

de forma intencional, o bien no poseer los conocimientos necesarios para

conservarlos.

268

Es necesario también contar con procedimientos de preservación de las evidencias

digitales, las cuales se pueden definir siguiendo las recomendaciones de la OAS2

2 Por sus siglas en Inglés Organization of American States u Organización de los Estados Americanos, que están plasmadas en el documento "Best practices for computer forensics" Recuperdo el 13 de febrero de 2019 de https://www.oas.org/juridico/spanish/cyb_best_pract.pdf

269

9.2.2. Procesos de investigación

Un auditor en seguridad es una persona con conocimientos extensos y variados en

el campo de la informática. Para hacer una investigación forense, por lo general, se

requiere del apoyo de un equipo de especialistas, no solamente en el campo de la

informática sino en otras áreas, como la legal, entre otras.

Como puede suceder que la investigación derive en acciones legales, labor de

mucha responsabilidad, los protocolos que se utilicen deben realizarse con mucha

rigurosidad y precisión.

Antes de comenzar cualquier investigación, es obligatorio conocer la ley del lugar

en donde se realiza la auditoría forense y las políticas de la empresa en cuestión

legal, para saber cómo debe ser recabadas las pruebas para asegurar que en ese

lugar se pueden realizar los procedimientos que hagan que la evidencia recolectada

se reconozca como tal.

Esto se toma en cuenta desde el inicio de la investigación, cuando se protege la

escena, se realiza la recolección, se efectúe el embalaje, o bien, se proceda a hacer

el almacenamiento de datos digitales, se transporten, se analicen, se preserven

hasta el momento de mostrarlos, se recuperen y se tenga plena disponibilidad de

los mismos para su presentación ante las autoridades competentes, y que lleven a

la identificación del o los responsables.

270

Baca (2016, p. 274) explica que la informática forense se basa en cuatro principios:

Figura 9.4. Principios de la informática forense.

Uno de los mayores retos es que, con los conocimientos adecuados, este tipo de

pruebas podrían ser alteradas en el proceso de cadena de custodia, para proteger

a los verdaderos culpables del incidente.

Esto ha llevado a que, en algunos lugares, las autoridades prefieran que las

empresas sean las que adopten medidas de seguridad para defenderse desde la

prevención, tomando en cuenta desde las fugas de información hasta los ataques,

pero este tipo de medidas no son realistas debido al rápido avance que se tiene en

cuanto a los diferentes medios de protección y su pronta caducidad debido a que la

delincuencia avanza tan rápido como las nuevas protecciones que salen al

mercado.

1. Toda investigación debe apegarse a estándares legales.

2. Todo investigador o equipo de investigación en informática forense debe tener una preparación rigurosa en técnicas forenses.

3. La investigación debe basarse sólo en técnicas forenses internacionalmente aceptadas.

4. Las técnicas para reunir evidencias y revisar el contenido de equipos de cómputo, personales o de una red privada, siempre deben llevarse a cabo con un permiso escrito de los interesados.

271

También hay una extensa variedad tanto de software como hardware que le ayudan

al auditor forense en sus investigaciones, permitiendo la extracción de datos de

forma forense. Esto es particularmente útil cuando se trata de dispositivos móviles

como tabletas y smartphones, que son muy utilizados en diferentes tipos de delitos,

no solamente en los informáticos.

Toda herramienta y procedimiento que utilice el equipo auditor de seguridad deberá

estar documentada y ser reproducible por algún par; y si bien podrán obtener

diferencias en los resultados, esto podrá ser aceptable con un cierto margen.

9.2.3. Técnicas de interrogación

Cuando se realiza una investigación podría ser necesario en algún punto realizar

una interrogación a ciertas personas que puedan ser clave para esclarecer cómo se

produjo el delito.

Antes del interrogatorio se debe tener preparada información respecto de lo que se

lleva descubierto al momento, así como el objetivo de hacer el interrogatorio. Se

deben preparar preguntas adecuadas al nivel de los interrogados, de forma que

puedan entender lo que se les pregunta sin necesidad de explicaciones demasiado

técnicas.

Las preguntas pueden prepararse para que se contesten de forma sencilla

(verdadero o falso) o bien que se proporcione una explicación más detallada

(preguntas abiertas). Las que deben evitarse son las que en la misma pregunta se

sugiera una respuesta, que demanden un alto nivel de atención a detalles, las

coercitivas o las poco claras. Se debe evitar todo tipo de improvisación y planificar

meticulosamente de inicio a fin, incluyendo el mejor momento y lugar donde deba

realizarse la interrogación, como parte de la misma estrategia de la auditoría.

272

También se deberá contemplar qué estrategia se seguirá, dependiendo del tipo de

persona a interrogar, dado que no es lo mismo interrogar a menores de edad,

jóvenes, adultos mayores o bien personas de bajo coeficiente intelectual.

9.2.4. Confidencialidad interna y externa La investigación que se realice puede ser interna, es decir, la realiza el mismo

equipo responsable de la seguridad de la empresa, o bien la puede hacer un

consultor o empresa externa que sea contratada específicamente para esa tarea.

En cualquiera de los dos casos, la investigación deberá realizarse conforme a lo

que las políticas y recomendaciones de la seguridad informática apliquen para ese

momento.

Cuando se hace una investigación interna, se presume que la persona o el equipo

conoce las políticas internas de la empresa y que su contrato le obliga a conducirse

de forma ética y confidencial; no debe revelar avances en la investigación, hipótesis,

teorías ni la conclusión a la que llegue después del tiempo que le lleve su trabajo.

En el caso de una investigación externa, antes de que comience cualquier tipo de

acción, se debe firmar un contrato en donde se especifique lo que se espera de esa

auditoría: cómo deben tratarse los datos, a quién se le proporcionarán, los alcances

de las pruebas que podrán realizar, cuál será la forma de contacto de esa

persona/empresa auditora, así como todos los documentos que se espera

entreguen al final, y quienes podrán ser los que reciban esa información por parte

de la empresa contratante, así como el medio de entrega. Aparte, el contrato

también deberá observar acciones legales en caso de que alguna de las partes falte

a algún punto de la confidencialidad que se está protegiendo.

Cuando un auditor hace una investigación, deberá al final proporcionar un reporte,

incluyendo los datos y resultados de su investigación, las recomendaciones, si

273

propone modificaciones a las políticas para incrementar la seguridad de las

personas, la infraestructura y la información, qué ha desatado la investigación, la

forma en la que se produjo el hecho, cómo puede evitarse eso mismo en el futuro y

si hay secuelas que deban atenderse en el corto, mediano o largo plazo.

Una vez que se siguen las recomendaciones, resultado de auditoría, deberá darse

un plazo para realizar una nueva investigación, en donde se verifique que ya se han

resuelto los problemas que hayan salido a la luz en la primera ocasión, dándole un

seguimiento periódico.

Por lo general, se recomienda que se consumen tanto auditorías internas como

externas, pero en el caso de las empresas que no cuentan con un área

especializada en seguridad (algo desafortunadamente común), entonces se

recomienda que no se le deje esta labor al área de informática y se contrate una

empresa que realice las auditorías de seguridad, o bien las investigaciones forenses

que correspondan.

9.2.5. Principales categorías de crímenes computacionales

En el año de 2001 el Consejo de Europa aprobó el “Convenio sobre la

Ciberdelincuencia”3, al cual se han adherido más de 50 países, en él se definen

terminologías relacionadas con el tema de la seguridad informática. También se

hace una clasificación de cuatro tipos de delitos informáticos:

Delitos relacionados con el contenido:

Calumnias, contenidos racistas, amenazas, calumnias, pornografía infantil.

3 Si deseas profundizar sobre este convenio, consulta el siguiente documento disponible en: https://www.oas.org/juridico/english/cyb_pry_convenio.pdf Recuperado el 13 de febrero de 2019.

274

Delitos que tienen a la tecnología como fin: atentan contra la confidencialidad,

integridad y disponibilidad de datos y sistemas informáticos:

Acceso ilícito a sistemas informáticos, uso no autorizado de equipos

informáticos, intercepción ilícita de datos, distribución de virus o malware.

Delitos que tienen a la tecnología como medio:

Falsificación de datos informáticos a causa de su alteración borrado o

supresión, que desencadenen fraudes, estafas o publicación de información

obtenida por medios ilícitos.

Delitos relacionados con infracciones de la propiedad intelectual y derechos

de autor:

Distribución de copias ilegales de canciones, videos o software.

Otro punto que abarca este convenio son las normas procesales, que son

procedimientos y herramientas que se utilizan para salvaguardar la evidencia digital

de una investigación.

Finalmente, se tratan las normas de cooperación internacional, donde se indica lo

que concierne a la investigación de un delito, digital o no, que involucre evidencia

digital. En este apartado incluso se trata de casos en los que se requiera la

extradición de los presuntos culpables.

En enero de 2003 se promulgó el “Protocolo Adicional al Convenio de

Ciberdelincuencia del Consejo de Europa” que incluye medidas en casos de:

Difusión de material xenófobo o racista.

Insultos o amenazas con motivación racista o xenófoba.

Negociación, minimización burda, aprobación o justificación del genocidio o

de crímenes contra la humanidad.

275

9.3. Manejo de incidentes

Como hace referencia Gómez (2011, p. 164) en la norma ISO/IEC 27002 se

describen 39 objetivos de control y 133 controles referentes a la seguridad de la

información, agrupados en 11 dominios. Uno de ellos es la gestión de incidentes,

que toma en cuenta dos situaciones que deben estar presentes en las empresas:

Figura 9.5. Situaciones de las empresas.

Cada empresa debe llevar un registro de todos los incidentes de seguridad que se

han presentado, cómo los han solucionado, quién ha participado en el proceso y

cómo dan seguimiento para evitar que se produzca nuevamente ese incidente.

Debe contener la mayor cantidad de datos posible, ya que esta información puede

ser útil en el futuro, sobre todo porque en algunas empresas el personal rota

demasiado, así que si se tiene documentado algo que resolvió una persona que no

labora más en la empresa pero dejó documentada la solución, será más sencillo

atender de forma más eficiente el incidente, y esto nos lleva al segundo punto, que

se debe tener un sistema de gestión de incidentes confiable y actualizado, de forma

que sea sencillo poder consultar todos los incidentes, obtener estadísticas por tipo

de incidente, fechas, entre otros datos que se almacenen.

Informe de incidentes y debilidades de seguridad de la información.

Gestión de incidentes de seguridad de la información y mejoras.

276

9.4. Leyes

Las leyes son un tema en movimiento constante, ya que ante nuevas situaciones

que se van presentando en el área de las tecnologías de la información (TI), se tiene

necesidad de regularlas y, en su caso, aplicar sanciones a los infractores.

Los autores Baca, Solares y Acosta (2014, p. 35) mencionan en el libro

Administración Informática I algunas leyes que se aplican en México, pero

encontramos más fácilmente la legislación y sus actualizaciones en sitios web y en

algunos artículos, como el del sitio de IT Business Solutions4 donde se mencionan

las siguientes leyes a considerar en México:

Ley Federal del Trabajo con respecto a la evidencia electrónica.

Ley Federal de Protección de Datos Personales en Posesión de los

Particulares (LFPDPPP) y sus medidas técnicas, físicas y administrativas.

Ley Federal para la prevención e identificación de operaciones con recursos

de procedencia ilícita y sus lineamientos de integridad de información.

Ley Federal del Derecho de Autor.

Artículos 424 al 429 del Código Penal Federal en lo que respecta a derechos

de autor.

Ley de Propiedad Industrial.

Ley Federal de Protección al Consumidor en el comercio electrónico.

Código de comercio, en lo referente al comercio electrónico.

Norma Oficial NOM 151-SCFI 2016, requisitos que deben observarse para la

conservación de mensajes de datos y digitalización de documentos.

Leyes de Protección de Datos de los Estados Unidos Mexicanos.

4 Itbusiness-solutions.com.mx (s/f) Consultado el 13 de febrero de 2019 de https://www.itbusiness-solutions.com.mx/regulaciones-seguridad-informatica.

277

Artículo 6 Constitución Política de los Estados Unidos Mexicanos, con

respecto al derecho de la información.

Ley de Gobierno Electrónico de la Ciudad de México.

Ley Federal de Telecomunicaciones y Radiodifusión.

Artículos 166 bis, 167, 168 bis, 173 al 177 del Código Penal Federal en lo

que respecta a ataques a las vías de comunicación y violación de

correspondencia.

Artículos 210 y 211 del Código Penal Federal en lo que respecta a ataques

a la revelación de secretos.

Artículos 211 bis 1 al 211 bis 7 del Código Penal Federal en lo que respecta

a sistemas y equipos de informática.

Es importante conocerlas, ya que las políticas internas de las empresas deben ser

escritas acordes a ellas, por lo que el área legal debe actualizarse en cada adición

legal que se haga a una ley federal, al código penal y otras leyes que contemplan

los medios digitales.

278

9.5. Licencias

A medida que se desarrolla el campo de la informática, se ha tenido que legislar en

cuanto al uso de los recursos. Por ejemplo, cuando compramos un software,

estamos autorizados a tener una copia del mismo, y éste se encuentra licenciado

para poder identificarlo entre las distintas copias que ha distribuido el autor, lo que

le da al usuario el permiso del autor para usarlo, pero no para reproducirlo y menos

distribuirlo. Cada tipo de licencia especifica qué tipo de uso se le puede dar a la

obra.

Ahora que es más rara la instalación del software, debido al uso del cómputo en la

nube (cloud computing), se han contemplado otros tipos de licencias, pero el hecho

de utilizar software sin el permiso del autor se sigue conociendo comúnmente como

“piratería”.

9.5.1. Propiedad intelectual

Tal como se puede consultar en la página del gobierno de México referente a la

Propiedad Intelectual5, ésta se refiere a dos conceptos: los Derechos de Autor, que

es un reconocimiento que hace el Estado a los creadores de obras de diferentes

clases (literarias, musicales, artísticas, entre otras); y la Propiedad Industrial, que

contempla la protección de invenciones nuevas (patentes, marcas, diseños

industriales, entre otros).

Para que un trabajo quede protegido por derechos de autor debe cumplir tres

requisitos:

5 Secretaría de Economía. (13 de mayo de 2016). La Propiedad Industrial en México. Consultado el 13 de febrero de 2019 de https://www.gob.mx/se/articulos/la-propiedad-industrial-en-mexico.

279

Figura 9.6. Requisitos para protección de derechos de autor.

Cuando un trabajo cumple con los tres requisitos, el autor puede reservarse los

siguientes derechos exclusivos:

1. Reproducir su trabajo o hacer copias de éste.

2. Distribuir su trabajo al público.

3. Modificar la obra o hacer obras derivadas.

4. Ejecutar la pieza u obra ante un público o exhibirla.

Si alguien diferente al autor realiza cualquiera de estas acciones con una obra

protegida y sin el permiso explícito del autor, se considera que viola sus derechos

de autor.

Esto aplica para videos, imágenes y diferentes recursos o información que podemos

encontrar en Internet o en medios digitales, pero que no por encontrarlos ahí, implica

que podamos utilizarla libremente.

Ser un trabajo original

No debe ser copiado o derivado de otro trabajo

Debe ser algo creativo y plasmarse en algún medio (papel, audio, video, digital, entre otros).

280

9.5.2. Importación / exportación

El software y las obras digitales se consideran un bien intangible, y cuando

utilizamos software que ha sido creado en otros países, o bien queremos exportar

uno propio a otros países, se deben cumplir las leyes de importación / exportación

que apliquen en el momento de realizar la operación.

Utilizando Internet para realizar el pago por medio de comercio electrónico y usando

un servidor de descarga como un medio de distribución, es probable que el software

o la obra no tenga que enviarse físicamente al lugar de compra, o bien el comprador

podría conectarse desde un lugar remoto a un servidor en la nube y desde ahí

utilizar el programa.

Se pueden tener distintas configuraciones, pero por lo general a cambio del pago

se otorga un licenciamiento que deberá cumplir con algunos términos y condiciones;

estas licencias no se catalogan como bienes, bajo las leyes fiscales de algunos

países, por lo que no son catalogados como bienes de importación, pero si generan

retención de impuestos locales, y al tratarse de la importación de programas,

también debe consultarse si en el país se puede realizar la deducción de impuestos

que genera esa compra.

9.5.3. Responsabilidad legal

Cuando se inicia una relación proveedor-cliente, mediante la cual se le otorga un

licenciamiento al cliente, se deben contemplar las acciones legales que se deriven

de algún tipo de mal uso de la licencia otorgada o bien que por el lado del proveedor

se compruebe que la obra que se ha vendido no cumple con las características

prometidas y que sean responsabilidad del autor (defectos en la programación,

fallas en el funcionamiento, agujeros de seguridad, entre otros).

281

Esto va directamente relacionado con las consecuencias que puedan derivarse del

problema que presente la obra y el impacto que le genere al cliente.

Hay algunos casos en los que se pueden llegar a presentar inconsistencias en el

uso de la obra, pero se puede llegar a demostrar que es una cuestión que no es

responsabilidad del autor, como por ejemplo errores en la configuración del

software, fallas en la energía eléctrica, fallas en el equipo de telecomunicaciones o

bien en los equipos de cómputo en donde se ejecuta.

En cualquier caso, el proveedor deberá otorgar la licencia e incluir una garantía de

buen funcionamiento, y en su caso, qué tipo de indemnización puede otorgar ante

diferentes escenarios.

9.5.4. Tráfico internacional de datos

Hoy es muy común que hagamos transacciones, y no solamente en nuestro país de

residencia, sino que podemos encontrar oferta de productos en otros países que

pueden enviarlos al nuestro. Por ejemplo, empresas como Amazon o AliExpress

hacen transmisión de datos por medio de servicios de comercio electrónico, con los

cuales pueden distribuir millones de productos entre diferentes países.

La privacidad y la protección de datos personales es de vital importancia cuando se

utilizan estos servicios, ya que se manejan datos personales y financieros de los

usuarios, los que son considerados críticos.

También puede ser que los usuarios no necesariamente vayan a hacer una

transacción bancaria, y que simplemente lean un sitio web, pero ahora es muy

frecuente ver sitios que nos advierten que hacen uso de cookies, y que si queremos

seguir navegando debemos aceptar que el sitio guarde información de la

navegación.

282

Parece inofensivo, pero por lo general los usuarios no saben para qué sirve esa

información que se está almacenando de ellos, y luego tenemos sorpresas como la

que resultó de la compañía llamada Cambridge Analytica, la cual realizaba minería

de datos y análisis de datos para marcar tendencias, sobre todo políticas, pero que

también resultan muy útiles para que las empresas sepan qué tipo de productos o

servicios son populares en este preciso momento entre usuarios globales.

Otro ejemplo es la situación que se presentó con la empresa Facebook, cuando se

denunció que se explotaba la información de los usuarios, con fines de creación de

tendencias políticas y comerciales.

También se deben tomar en cuenta los contratos internacionales que se firman, por

ejemplo, con proveedores de espacio en la nube, ya que a veces su precio es muy

razonable para tener con ellos el alojamiento de sitios Web o sistemas en la nube,

pero al leer el contrato, se estipula que, al utilizar su servicio, los datos pasan a ser

propiedad de esa empresa, lo cual afecta gravemente las garantías de los usuarios

que tiene la empresa contratante.

283

9.6. Principales tipos de leyes

Las leyes se han tenido que ir actualizando constantemente con respecto a temas

informáticos, ya que se van presentando en poco tiempo nuevas formas de delitos

informáticos que antes no existían.

Los expertos en Derecho han visto la necesidad de actualizar regularmente la

legislación y hacer una redacción muy precisa y particular para los casos que se

presentan actualmente, por ejemplo, en específico lo que tiene que ver con delitos

en donde se utiliza el phishing o el ransomware, o bien lo que tiene que ver con el

robo de información, o la falta de protección de datos privados.

Hay delitos que reconocen las leyes internacionales, pero en otros casos, se tiene

que revisar la legislación federal y la local para ver si un delito en particular puede

ser sancionado o no, y qué tipo de castigo alcanzaría.

9.6.1. Ley criminal La ley criminal regula la capacidad punitiva del Estado, mediante medidas de

seguridad y penas, que al aplicarse derivan en una restricción a los derechos del

responsable.

Su propósito es mantener la estabilidad del Estado y la sociedad; con las penas se

castiga de forma oportuna a los transgresores y mediante las medidas de seguridad

se previene con el ejemplo.

Cuando existe una causa penal, el delito debe comprobarse de forma más estricta

y sin dejar lugar a dudas, lo cual por lo general se hace a través de un juicio, donde

284

el papel del jurado es tomar una decisión unánime antes de dictar una sentencia al

acusado.

En los casos de una ley penal, el Estado asigna un abogado al acusado, en caso

de que no pueda contratar a uno.

9.6.2. Ley civil

La ley civil por definición se encarga de regular los conflictos entre particulares

respecto de sus deberes y responsabilidades legales.

Su objetivo es mediar en las disputas entre particulares, organizaciones o

individuos, y por lo general la resolución indica el pago de una indemnización para

la persona agraviada.

Las causas civiles se comprueban mediante prueba menos estrictas que las

penales, dado que la responsabilidad civil es considerada menos reprochable y

debido a que las sanciones son menos graves.

El acusado puede ser encontrado culpable o inocente, lo cual le corresponde a un

juez decidir. Las causas civiles permiten jurados en algunos casos, pero en la

mayoría de los casos decidirá un juez.

En los casos de una ley penal, el Estado no asigna un abogado al acusado, por lo

que debe contratar uno para que lleve su caso.

285

RESUMEN

Hay leyes internacionales que protegen los sistemas, infraestructura, datos y

privacidad de éstos, pero en cada país se tiene un avance distinto en esta materia.

Por lo general, se busca proteger la propiedad intelectual, la privacidad, integridad

y disponibilidad de los datos, infraestructura y los sistemas.

Cuando una nueva ley se publica, las empresas deben actualizar sus políticas y

normas de seguridad, así como las acciones que correspondan al incumplimiento

de las mismas, redactándolas de forma cuidadosa, precisa y clara, y deberán

aplicarse para todo el personal por igual, ya que, de no hacerlo, los colaboradores

no las tomarán en serio y eso propiciará un ambiente caótico, que es justo lo

contrario de lo que se busca.

Lo más recomendable dentro de una empresa es contar con un área legal que

pueda hacer recomendaciones ante situaciones de ataques o delitos informáticos,

dependiendo de la magnitud de los mismos, para que pueda ejercerse una acción

legal en los casos que lo ameriten.

Para poder aplicar cualquier sanción deberá siempre haber pruebas, pero la

evidencia digital puede ser volátil y desaparecer rápidamente, o bien puede

alterarse, por lo que la investigación y recolección de las pruebas debe ser un

proceso ágil y preciso, siguiendo una cadena de custodia para que la prueba sea

válida ante la ley.

286

BIBLIOGRAFÍA DE LA UNIDAD

Bibliografía sugerida

Autor Capítulo Páginas

Baca 6. Las contingencias en

seguridad informática e

informática forense

272 - 279

Gómez 4. Estandarización y certificación

en seguridad informática

159 - 167

Gómez 9.5 Informática forense 314 – 319

Gómez 25.1 Delitos informáticos 665 - 668

Baca, Solares, Acosta 1. Seguridad informática 33 - 36

287

REFERENCIAS BIBLIOGRÁFICAS

Bibliografía sugerida

Aguilera, P. (2010). Seguridad informática. Madrid: Editex.

Alegre Ramos María Del Pilar, et al. (2011). Seguridad informática. Madrid: Paraninfo.

Baca; Gabriel. (2016). Introducción a la seguridad informática. México: Patria.

Baca Gabriel; Solares Pedro; Acosta, Elizabeth. (2014). Administración Informática I:

Análisis y evaluación de tecnologías de información. México: Grupo Editorial

Patria.

Calder, A. y. (2010). Information Risk Management for ISO27001/ISO27002.

Cambridgeshire: IT Gobernance Publishing.

CISSP Certification All-in-One Exam Guide, Fourth Edition.

CISSP: Certified Information Systems Security Professional Study Guide, 9780470276884

(0470276886), Sybex, 2008.

Corrales, Alberto; Beltrán Marta; Guzmán, Antonio (2006). Diseño e implantación de

arquitecturas informáticas seguras. Una aproximación práctica. Madrid: Librería-

Editorial Dykinson.

Gallardo; Gabriel, (2016). Seguridad en bases de datos y aplicaciones web (2ª ed.). Madrid:

Edición, Vigo, IT Campus Academy.

288

García-Cervigón; Alegre (2011). Seguridad informática. México: Paraninfo.

Gómez, Á. (2011). Enciclopedia de la seguridad informática (2a. ed.). Madrid: RA-MA.

ISECOM, Manual de la metodología abierta de comprobación de la seguridad (OSSTMM,

Open Source Security Testing Methodology Manual).

Marco, María; Marco, Josep (2010). Escaneando la informática. Barcelona: Editorial UOC.

Ramos, Benjamín (2004). Avances en criptología y seguridad de la información. Madrid:

Díaz de Santos.

Singh, Simón (2000). Los códigos secretos. Madrid: Debate.

Stallings, William (2003). Fundamentos de seguridad en redes: aplicaciones y estándares.

Madrid: Pearson Educación.

Stallings, William (2004). Fundamentos de seguridad en redes: aplicaciones y estándares

(2ª ed.). Madrid: Pearson/Prentice Hall.

Tanenbaum, Andrew (2003). Sistemas operativos modernos. México: Pearson

Educación.

Vaca, John (2014). Managing Information Security, Massachusetts: Elsevier

von Solms, S.H., von Solms R. (2009). Information Security Governance. New York:

Springer.

289

Bibliografía básica

Acissi. (2015). Seguridad informática: Ethical Hacking, conocer el ataque para una mejor

defensa. España: ENI ediciones.

Costas, J. (2011). Seguridad informática. Colombia: Ediciones de la U / Ra-Ma.

Costas, J. (2014). Seguridad informática. España: Ra-Ma.

Dordoigne, J. (2015). Redes informáticas: Nociones fundamentales (protocolos,

arquitecturas, redes inalámbricas, virtualización, seguridad, IP v6). España: ENI

ediciones.

Gómez, A. (2011). Seguridad informática básica. Bogotá: Ecoe Ediciones.

Gómez, Á. (2014). Auditoría de seguridad informática. España: Starbook.

Gómez, A. (2014). Enciclopedia de la seguridad informática. España: Ra-Ma.

Roa, J. F. (2013). Seguridad informática. Madrid: McGraw-Hill.

Sanders, C., & Smith, J. (2014). Applied network security monitoring: collection,

detection, and analysis. Países Bajos: Syngress.

Katz, M. (2013). Redes y seguridad. México: Alfaomega.

290

Bibliografía complementaría

Costas, J. (2014). Mantenimiento de la seguridad en sistemas informáticos. España:

Starbook.

Dulaney, E. A., & Pinilla, M. J. (2011). Seguridad informática CompTIA Security+. España:

Anaya Multimedia.

Gómez, A. (2014). Gestión de incidentes de seguridad informática. España: Starbook.

Gómez, Á. (2014). Seguridad en equipos informáticos. España: Starbook.

Martos, M. C. (2010). Investigación sobre seguridad informática: delitos informáticos,

hackers, crackers y noticias relacionadas en la actualidad. España: Procompal.

Peña, R., & Cuartero, F. (2013). Curso completo de informática: sistemas operativos,

aplicaciones ofimáticas, internet, multimedia, seguridad: niveles básico y medio.

México: Alfaomega.

291

Otras fuentes de consulta

Aguilera, (2011). Control de acceso en el entorno físico (Seguridad informática). Madrid:

Editex.

Areitio Bertolí J. (2008). Seguridad de la información. Redes, informática y sistemas de

información. Madrid: PARANINFO.

Chicano, Ester. (2015). Auditoría de seguridad informática. Málaga: IC Editorial.

Clarke Justin (2012) SQL. Injection Attacks and Defense. Amsterdam: Syngress

Publishing.

De Marcelo, Jesús (2002). Virus de sistemas informáticos e internet. México: Alfa omega-

Rama.

González, Alfonso, (2002). Visual Basic. Programación cliente-servidor, México: Alfa

omega-Rama.

Hernández Steven (2013). Official ISC 2 Guide to the CISSP CBK. Boca Raton Florida,

USA: Auerbach Publications.

March Nicholas (2010). The Fat-free Guide to Network Scanning. Berkeley: CreateSpace-

Nmap Cookbook.

McClure Stuart, (y otros) (2009). Hacking Exposed: Network Security Secrets and Solutions

(Sixth Edition). Berkeley, California. McGraw-Hill.

Network Security: A Decision and Game-Theoretic Approach, Cambridge University Press,

2010.

Ortega J., López M., García E. (2005). Introducción a la criptografía. Historia y actualidad.

Ciudad Real: Universidad Castilla La Mancha.

Rault, Raphaël; Schalkwijk, Laurent; Agé, Marion, Nicolas; Crocfer, Robert; Dumas, David;

Ebel, Franck; Fortunato, Guillaume; Hennecart, Jérôme; Lasson, Sébastien. (2015).

Seguridad informática - Hacking Ético: Conocer el ataque para una mejor defensa

(3ª edición). Barcelona: Ediciones ENI.

Estandars Centre. (2019). BS 25999-1:2006. Recuperado el 10 de Octubre de 2019, de http://www.standardscentre.co.uk/bs/BS-25999-1-2006/

292

Serra Carlos. (2009). ISO 31000:2009. Herramienta para evaluar la gestión de riesgos.

Recuperado el 21 de febrero de 2019 de: https://www.isaca.org/chapters8/Montevideo/cigras/Documents/cigras2011-cserra-presentacion1%20modo%20de%20compatibilidad.pdf)

Sigh, S. (2000). Los códigos secretos. Recuperado el 10 de Octubre de 2019, de

http://www.librosmaravillosos.com/loscodigossecretos/pdf/Los%20codigos%20secretos%20-%20Simon%20Singh.pdf

Vincent Herzog, Peter. (2003). Manual de la metodología abierta de comprobación de la

seguridad (OSSTMM, Open Source Security Testing Methodology Manual). Nueva

York: ISECOM. Recuperado el 12 de febrero de 2019 de

https://issuu.com/dragonjar/docs/osstmm.es.2.1/2

Tapiador, Sigüenza, (2004). Tecnologías biométricas aplicadas a la seguridad, Madrid,

España: Ra-Ma S.A.

293

Sitios electrónicos

(Vigentes al 26 de febrero de 2019)

Sitio Descripción

http://revista.seguridad.unam.mx/numeros-anteriores

Revista mensual con temas actuales de seguridad informática con casos nacionales e internacionales.

https://frikosfera.wordpress.com/2015/02/27/que-es-la-arquitectura-von-neumann/

Arquitectura de computadoras.

http://www.eldiario.es/turing/John-Neumann-revolucionando-computacion-Manhattan_0_380412943.html

Arquitectura de computadoras

http://www.aliat.org.mx/BibliotecasDigitales/sistemas/Arquitectura_computadoras_I.pdf

Arquitectura de computadoras.

https://sites.google.com/site/computadorasarquitectura/home/introduccion

Arquitectura de computadoras.

http://www.risicare.fr/ Sitio que presenta información del software RISICARE

http://www.welivesecurity.com/la-es/2015/03/23/evaluacion-de-riesgos-cualitativa-o-cuantitativa/

Sitio que tiene información sobre seguridad evaluación de riesgo.

https://www.wireshark.org/ Sitio que presenta un analizador de tráfico de la red gratuito y multiplataforma

https://www.rfc-editor.org/rfc/rfc1087.txt

Network Working Group. (1989). Ethics and the Internet.

http://tecnologia-entu-blog.blogspot.mx/2010/02/estandarizacion-y-certificacion-en.html

Mecanismos de protección.

https://www.techopedia.com/definition/24820/compartmented-security-mode

Modos de seguridad.

http://es.slideshare.net/luisrobles17/modelos-de-seguridad-de-la-informacin

Modelos de seguridad.

294

http://qanewsblog.com/2013/04/16/evaluacion-de-la-seguridad-de-los-sistemas-informaticos-politicas-estandares-y-analisis-de-riesgos/

Guías de evaluación.

http://www.tugurium.com/gti/termino.php?Tr=dedicated+mode

Glosario de terminología informática.

http://mundoerp.com/blog/niveles-seguridad-y-auditoria-datos/

ERP: Niveles de seguridad y auditoría de datos.

http://web.mit.edu/rhel-doc/4/RH-DOCS/rhel-rg-es-4/s1-samba-security-modes.html

Red Hat Enterprise Linux 4: Manual de referencia.

https://www.genbeta.com/desarrollo/que-es-y-como-surge-la-criptografia-un-repaso-por-su-historia

Historia de la criptografía.

https://www.genbeta.com/a-fondo/por-que-es-importante-https-y-que-implica-no-usarlo

¿Por qué es importante HTTPS y qué implica no usarlo?

https://revista.seguridad.unam.mx/numero-17/criptograf%C3%AD-y-criptoan%C3%A1lisis-la-dial%C3%A9ctica-de-la-seguridad

Criptografía y criptoanálisis: la dialéctica de la seguridad.

https://protejete.wordpress.com/gdr_principal/analisis_riesgo/

Sitio web sobre gestión de riesgos informáticos.

http://www.wipo.int/sme/es/documents/value_ip_intangible_assets.htm

Sitio web sobre valuación de activos.

http://administracionelectronica.gob.

es/pae_Home/pae_Documentacion/p

ae_Metodolog/pae_Magerit.html#.Vg

Hb3pVdG1s

Herramienta de evaluación de riesgos MAHERIT.

http://www.cyta.com.ar/ta1001/v10n1

a3.htm

Herramienta de evaluación de riesgos MAHERIT.

http://www.risicare.fr/index.htm Software de gestión de riesgos basado en la herramienta MEHARI.

http://www.welivesecurity.com/la-

es/2015/03/23/evaluacion-de-riesgos-

cualitativa-o-cuantitativa/

Evaluación de riesgos cualitativa y cuantitativa.

295

http://www.magazcitum.com.mx/?p=1

565#.VgswvJVdG1s

Transferencia del riesgo.

https://www.youtube.com/watch?v=S

3YpvcYfwt8

Minuto 2:50 a 7:30. Video de la serie Hacking the System Episodio 1 Temporada 1 Personal Security.

http://www.isecom.org/research/ Open Source Security Testing Methodology Manual (OSSTMM).

https://latam.kaspersky.com/blog/bio

metric-atms/7844/

¿Es segura la banca biométrica?

https://latam.kaspersky.com/resourc

e-center/definitions/tunneling-

protocol

¿Qué es un protocolo de tunelización?

https://www.xataka.com/vodafoneads

lafondo/que-es-y-como-funciona-la-

nat

¿Qué es y cómo funciona la NAT?

https://www.welivesecurity.com/la-

es/2015/06/01/como-fortalecer-capas-

redes-informaticas/

Cómo fortalecer las distintas capas de las redes informáticas.

https://www.abc.es/tecnologia/movile

s/aplicaciones/abci-estas-apps-

mensajeria-mas-seguras-

201802182136_noticia.html

Página que presenta información sobre las «apps» de mensajería más seguras.

https://hipertextual.com/2018/05/cifra

do-pgp-vulnerable

Página que presenta información sobre los sistemas PGP y S/MIME de correo electrónico.

http://www.maithean.com/docs/set_ei

g.pdf

Documento en Inglés: External Interface Guide to SET Secure Electronic Transaction (PDF). Mastercard and Visa. September 1997.

https://www.owasp.org/images/5/5e/

OWASP-Top-10-2017-es.pdf

Documento en PDF. OWASP Top 10 – 2017. Los diez riesgos más críticos en Aplicaciones.

296

https://www.symantec.com/content/d

am/symantec/docs/about/2017-ncsir-

global-results-en.pdf

Documento en PDF con información sobre Norton 2017 Cyber Security Insights Report Global Results.

https://www.iso.org/standard/54534.h

tml

Página en Inglés que tiene información sobre el estándar ISO/IEC 27001:2013 - Information technology -- Security techniques -- Information security management systems – Requirement.

https://www.owasp.org Página que muestra información sobre la comunidad de voluntarios para participar en diversos proyectos (OWASP).

https://www.incibe.es/protege-tu-

empresa/que-te-interesa/plan-

contingencia-continuidad-negocio

Instituto Nacional de Ciberseguridad.

https://www.ready.gov/business-

impact-analysis

Análisis de Impacto del Negocio.

https://tools.ietf.org/html/rfc2196 RFC 2196.

https://tools.ietf.org/html/rfc1244 RFC 1244.

https://www.isaca.org/chapters8/Mon

tevideo/cigras/Documents/cigras201

1-cserra-

presentacion1%20modo%20de%20co

mpatibilidad.pdf

Norma ISO 31000:2009.

https://www.isotools.org/2014/03/12/c

omo-fue-el-cambio-de-bs-25999-

22007-a-la-iso-22301/

Norma BS 25999.

https://www.isc2.org/Ethics (ISC)² Code of Ethics. Es una organización que capacita y certifica a profesionales de seguridad en informática

https://www.gob.mx/se/articulos/la-propiedad-industrial-en-mexico

La Propiedad Industrial en México.

297

https://www.itbusiness-solutions.com.mx/regulaciones-seguridad-informatica

Regulaciones que se deben cumplir para la seguridad informática.

https://www.oas.org/juridico/spanish/cyb_ecu_delitos_inform.pdf

Delitos Informáticos: Generalidades.

http://portaley.com/2013/10/tipos-de-delitos-informaticos-o-ciberlitos/

Tipos de Delitos informáticos o ciberlitos.

http://www.delitosinformaticos.info/delitos_informaticos/tipos_delitos.html

Tipos de delitos informáticos.

http://www.ordenjuridico.gob.mx/Congreso/2doCongresoNac/pdf/PinaLibien.pdf

Los Delitos Informáticos previstos y sancionados en el Ordenamiento Jurídico Mexicano.

http://www.scielo.org.co/scielo.php?script=sci_arttext&pid=S0121-86972008000100013

El derecho informático y la gestión de la seguridad de la información una perspectiva con base en la norma ISO 27 001.

https://www.ready.gov/business-impact-analysis

Sitio que informa sobre estrategias de recuperación de información.

https://wipolex.wipo.int/es/treaties/textdetails/15548.

Protocolo adicional al Convenio sobre la ciberdelincuencia relativo a la penalización de actos de índole racista y xenófoba cometidos por medio de sistemas informáticos

298

RESPUESTAS A LOS EXÁMENES

UNIDADES

No. 1 2 3 4 5 6 7 8 9

1 a b a V A B A D C

2 a b b V B A B F B

3 c b a F A A B H C

4 b c b V C B A G B

5 a c a V A A C E B

6 b b c F B B B I B

7 d b d V B A B B C

8 d b c V C B C C A

9 c c a V B B B A B

10 b a a F A B A J C

11 d

12 a

299