Seguridad informática para empresas y particulares

Vista previa del material en texto

SEGURIDAD INFORMÁTICA
PARA EMPRESAS
Y PARTICULARES
Microsoft® Excel 2002
sin problemas
Gonzalo Álvarez Marañón
Pedro Pablo Pérez García
Revisión técnica
Pedro Bustamante
Chief Marketing Officer
Panda Software
MADRID • BUENOS AIRES • CARACAS • GUATEMALA • LISBOA • MÉXICO
NUEVA YORK • PANAMÁ • SAN JUAN • SANTAFÉ DE BOGOTÁ • SANTIAGO • SÃO PAULO
AUCKLAND • HAMBURGO • LONDRES • MILÁN • MONTREAL • NUEVA DELHI
PARÍS • SAN FRANCISCO • SIDNEY • SINGAPUR • ST. LOUIS • TOKIO • TORONTO
SEGURIDAD
INFORMÁTICA
PARA EMPRESAS
Y PARTICULARES
La información contenida en este libro procede de una obra original entregada por los autores.
No obstante, McGraw-Hill no garantiza la exactitud o perfección de la información publicada.
Tampoco asume ningún tipo de garantía sobre los contenidos y las opiniones vertidas
en dichos textos.
Este trabajo se publica con el reconocimiento expreso de que se está proporcionando una información,
pero no tratando de prestar ningún tipo de servicio profesional o técnico. Los procedimientos y la
información que se presentan en este libro tienen sólo la intención de servir como guía general.
McGraw-Hill ha solicitado los permisos oportunos para la realización y el desarrollo de esta obra.
SEGURIDAD INFORMÁTICA PARA EMPRESAS Y PARTICULARES
No está permitida la reproducción total o parcial de este libro, ni su tratamiento informático, ni la
transmisión de ninguna forma o por cualquier medio, ya sea electrónico, mecánico, por fotocopia,
por registro u otros métodos, sin el permiso previo y por escrito de los titulares del Copyright.
DERECHOS RESERVADOS © 2004, respecto a la primera edición en español, por
McGRAW-HILL/INTERAMERICANA DE ESPAÑA, S. A. U.
Edificio Valrealty, 1ª planta
Basauri, 17
28023 Aravaca (Madrid)
http://www.mcgraw-hill.es
profesional@mcgraw-hill.com
ISBN: 84-481-4008-7
ISBN (edición especial): 84-481-4297-7
Depósito legal:
Editor: Carmelo Sánchez González
Diseño de cubierta: Luis Sanz Cantero
Compuesto en: GAAP Editorial, S. L.
Impreso en:
IMPRESO EN ESPAÑA - PRINTED IN SPAIN
McGraw-Hill / Interamericana
de España S. A. U.
http://www.mcgraw-hill.es
profesional@mcgraw-hill.com
v
> Contenido
Acerca de los autores ............................................................................................ xix
Prólogo .................................................................................................................. xxi
Introducción ........................................................................................................... xxiii
CAPÍTULO 1. Introducción a la seguridad de la información ........... 1
Gestión de seguridad de la información .................................................................. 2
Expectativas y contextos de seguridad .................................................................. 3
Gestión del riesgo .................................................................................................. 4
Amenazas a la información ................................................................................... 7
Gestión de la seguridad en el espacio .................................................................... 8
Gestión de la seguridad en el tiempo ..................................................................... 11
Seguridad frente a Comodidad .............................................................................. 11
Planificación de la seguridad ................................................................................. 12
Políticas de seguridad ............................................................................................ 14
Funciones y responsabilidades ............................................................................... 17
Servicios de seguridad gestionados ....................................................................... 17
Historia de la seguridad informática ....................................................................... 20
Comienzo de los ordenadores: años cincuenta ...................................................... 22
Inicio de la seguridad informática: años setenta ................................................... 22
Los años dorados y posterior persecución: años ochenta ...................................... 22
La seguridad cobra fuerza ...................................................................................... 23
El boom de la seguridad ........................................................................................ 24
Casos famosos ........................................................................................................ 24
La seguridad en la empresa ...................................................................................... 25
Defensa en profundidad ......................................................................................... 25
Análisis de riesgos ................................................................................................. 29
Análisis de amenazas comunes ............................................................................. 32
Costes de los incidentes de seguridad para la empresa ......................................... 34
Cumplimiento de leyes y estándares ...................................................................... 36
Gestión de la Seguridad de la Información en España .................................... 37
Normas Internacionales ................................................................................... 37
Criterios de seguridad para la clasificación de seguridad de sistemas ............ 38
La seguridad para el particular ............................................................................... 38
La problemática de los hackers .............................................................................. 38
La problemática del malware ................................................................................. 39
Otras problemáticas de seguridad .......................................................................... 40
Soluciones de seguridad para el particular ............................................................ 41
Referencias y lecturas complementarias ................................................................. 44
Bibliografía ............................................................................................................ 44
Internet ................................................................................................................... 44
Gestión de seguridad de la información .......................................................... 44
Historia de la seguridad informática ................................................................ 44
La seguridad en la empresa .............................................................................. 45
CAPÍTULO 2. Anonimato y privacidad ................................................ 47
Navegación anónima.................................................................................................. 49
Proxies CGI o anonimizadores .............................................................................. 50
Proxies HTTP ......................................................................................................... 50
Proxies SOCKS ...................................................................................................... 54
Comparación de los diversos tipos de proxy ......................................................... 56
Correo electrónico anónimo ...................................................................................... 57
Servicios de correo Web ......................................................................................... 57
Repetidores de correo anónimos ............................................................................ 58
Protección frente al spyware y programas espía .................................................... 60
Origen del spyware ................................................................................................60
Web bugs ................................................................................................................ 61
¿Tengo spyware en mi ordenador? ........................................................................ 63
Eliminación y prevención del spyware .................................................................. 64
Cookies ........................................................................................................................ 64
Descripción de las cookies ..................................................................................... 66
Riesgos de las cookies ............................................................................................ 67
Amenazas de las cookies a la confidencialidad ............................................... 67
Amenazas de las cookies al anonimato ........................................................... 67
Protección contra las cookies ................................................................................. 68
Borrado de rastros en el ordenador ......................................................................... 71
Eliminación de rastros de la navegación ............................................................... 72
Eliminación de otros rastros de la actividad informática ...................................... 74
Borrado seguro de datos ......................................................................................... 74
Ley Orgánica de Protección de Datos de carácter personal (LOPD) .................. 76
Datos de carácter personal ..................................................................................... 77
Tipos de ficheros .................................................................................................... 77
Sujetos a la Ley ...................................................................................................... 78
vi Contenido
Obligaciones legales .............................................................................................. 78
Principio de calidad de datos ........................................................................... 78
Deber de información ....................................................................................... 79
Solicitud del consentimiento para tratamiento y cesión de datos.................... 80
Flujos de datos .................................................................................................. 80
Deber de guardar secreto .................................................................................. 81
Atención de los derechos de los ciudadanos .................................................... 81
Notificación de ficheros ................................................................................... 82
Adopción de medidas de seguridad necesarias ................................................ 83
Medidas de seguridad ............................................................................................ 83
Medidas de seguridad de nivel básico.............................................................. 84
Documento de seguridad ............................................................................ 84
Funciones y obligaciones del personal ....................................................... 84
Registro de incidencias ............................................................................... 84
Identificación y autenticación .................................................................... 85
Autorización ............................................................................................... 85
Gestión de soportes ..................................................................................... 85
Copias de respaldo ...................................................................................... 85
Medidas de seguridad de nivel medio .............................................................. 85
Documento de seguridad ............................................................................ 85
Responsable de seguridad ........................................................................... 86
Auditoría ..................................................................................................... 86
Identificación y autenticación .................................................................... 86
Autorización ............................................................................................... 86
Control de acceso físico .............................................................................. 86
Gestión de soportes ..................................................................................... 86
Registro de incidencias ............................................................................... 86
Pruebas con datos reales ............................................................................. 87
Medidas de seguridad de nivel alto.................................................................. 87
Distribución de soportes ............................................................................. 87
Registro de accesos ..................................................................................... 87
Copias de respaldo y recuperación ............................................................. 87
Telecomunicaciones .................................................................................... 87
Normativa sobre Protección de Datos de Carácter Personal ................................. 88
Ley de Servicios de la Sociedad de la Información y Comercio Electrónico
 (LSSICE) ........................................................................................................... 88
Constancia registral del nombre de dominio ......................................................... 88
Información general ............................................................................................... 89
Comunicaciones comerciales por vía electrónica .................................................. 89
Contratación de servicios por vía electrónica ........................................................ 90
Normativa sobre comercio electrónico .................................................................. 91
Referencias y lecturas complementarias ................................................................. 91
Bibliografía ............................................................................................................ 91
Internet ................................................................................................................... 91
Navegación anónima ........................................................................................ 91
Spyware ............................................................................................................ 92
Cookies ............................................................................................................. 92
Rastros .............................................................................................................. 92
LOPD ................................................................................................................ 92
Contenido vii
CAPÍTULO 3. CID: Confidencialidad, Integridad, Disponibilidad ..... 93
Confidencialidad ........................................................................................................ 95
Confidencialidad en el almacenamiento de datos ................................................. 97
Herramientas de cifrado de archivos................................................................ 98
El sistema de archivos de cifrado de Windows (EFS) ..................................... 99
Herramientas de línea de comando para EFS ............................................ 104
Limitaciones de EFS y posibles soluciones ................................................ 104
Guía de mejores prácticas para el uso de EFS ........................................... 106
Alternativas a EFS ......................................................................................106
Discos duros cifrados ....................................................................................... 106
Confidencialidad en el transporte de datos ........................................................... 107
Cifrado de los datos en el navegador ............................................................... 109
Cifrado de los mensajes de correo electrónico ................................................. 110
Outlook Express ......................................................................................... 111
PGP ............................................................................................................. 112
Esteganografía ............................................................................................ 113
Cifrado de otros protocolos .............................................................................. 114
Túneles SSL ................................................................................................ 114
SSH ............................................................................................................. 115
IPSec ................................................................................................................. 116
Integridad ................................................................................................................... 117
Integridad en el almacenamiento de datos ............................................................ 118
Control de cambios ........................................................................................... 118
Firma de archivos ............................................................................................. 118
md5sum ...................................................................................................... 119
fsum ............................................................................................................ 120
sfv ................................................................................................................ 120
Integridad en bases de datos ............................................................................ 121
Integridad en el transporte de datos ...................................................................... 121
Integridad de los datos en el navegador........................................................... 121
Integridad de los mensajes de correo electrónico ............................................ 122
Disponibilidad ............................................................................................................ 122
Tolerancia a fallos .................................................................................................. 123
Protección del entorno ...................................................................................... 124
Fallos en el suministro eléctrico ................................................................. 124
Detección y extinción de incendios ............................................................ 125
Calefacción, ventilación y aire acondicionado ........................................... 126
Seguridad física de los equipos .................................................................. 126
Protección del hardware ................................................................................... 127
Sistemas RAID ........................................................................................... 127
Redundancia en el almacenamiento ........................................................... 128
Cluster de servidores .................................................................................. 130
Interrupción de la conexión de red ............................................................. 131
Protección del software .................................................................................... 131
Recuperación de sistemas ...................................................................................... 131
Copias de seguridad del sistema de archivos ................................................... 131
Información a copiar .................................................................................. 132
Tipos de copia de seguridad ....................................................................... 132
viii Contenido
Contenido ix
Duración de las copias de seguridad .......................................................... 134
Tipos de medios de almacenamiento .......................................................... 136
Lugar de almacenamiento de las copias de seguridad ............................... 137
Responsable de las copias de seguridad ..................................................... 137
No todo el monte es orégano ...................................................................... 137
Copias de respaldo del estado del sistema ....................................................... 138
Utilidad de copia de seguridad de Windows ......................................................... 139
Creación de copias de seguridad ................................................................ 140
Restauración de datos ................................................................................. 141
Creación de disco de recuperación automática del sistema ....................... 141
Utilidades de copia de seguridad profesionales ............................................... 142
Plan de contingencia .............................................................................................. 142
Plan de continuidad de negocio ....................................................................... 143
Plan de recuperación ante desastres ................................................................. 145
Otros conceptos de seguridad ................................................................................... 146
Autenticación ......................................................................................................... 146
Contraseñas ...................................................................................................... 146
Certificados digitales ........................................................................................ 147
Identificación biométrica ................................................................................. 147
Autenticación multifactor ................................................................................ 148
Autorización ........................................................................................................... 148
Listas de control de acceso ............................................................................... 149
Identidad de código .......................................................................................... 149
Reglas de filtrado ............................................................................................. 150
Auditoría ................................................................................................................ 150
No repudio .............................................................................................................. 150
Firmas electrónicas y certificados digitales ............................................................ 150
Firmas electrónicas ................................................................................................ 151
Certificados digitales ............................................................................................. 152
Información almacenada en certificados ......................................................... 154
Formatos de archivo de certificado estándar ................................................... 155
Sintaxis estándar de intercambio de información personal
(PKCS #12) ........................................................................................... 155
Sintaxis estándar de mensajes criptográficos (PKCS #7) .......................... 155
Sintaxis estándar de petición decertificados (PKCS #10) ........................ 156
Tipos de certificados ......................................................................................... 156
Certificados de servidor .............................................................................. 156
Certificados personales ............................................................................... 156
Certificados de edición de software ............................................................ 156
Certificados de entidad emisora de certificados ......................................... 156
Cómo conseguir un certificado digital de prueba ............................................ 157
Almacenamiento seguro de certificados digitales ........................................... 157
Autoridades de certificación .................................................................................. 158
Listas de revocación de certificados ...................................................................... 161
Referencias y lecturas complementarias ................................................................. 162
Bibliografía ............................................................................................................ 162
Internet ................................................................................................................... 162
Confidencialidad .............................................................................................. 162
Integridad ......................................................................................................... 163
x Contenido
Disponibilidad .................................................................................................. 163
Otros aspectos de la seguridad ......................................................................... 163
CAPÍTULO 4. Protección de redes ...................................................... 165
Conceptos generales de redes ................................................................................... 166
TCP/IP .................................................................................................................... 167
Capa de aplicación ........................................................................................... 168
Capa de transporte............................................................................................ 168
Capa de red ....................................................................................................... 169
Capa de enlace .................................................................................................. 169
Ethernet .................................................................................................................. 170
Redes inalámbricas ................................................................................................ 172
Modo infraestructura ........................................................................................ 174
Modo ad hoc ..................................................................................................... 175
Amenazas y ataques en una red ............................................................................... 176
Amenazas, vulnerabilidades, ataques y contramedidas ........................................ 176
Herramientas de análisis de la seguridad .............................................................. 177
Enumeración .................................................................................................... 178
Ping ............................................................................................................. 178
Tracert ......................................................................................................... 180
SNMP.......................................................................................................... 182
Datos de un sistema localizado ........................................................................ 182
Escaneo de puertos ..................................................................................... 182
Fingerprinting de sistema operativo .......................................................... 185
Fingerprinting de aplicaciones ................................................................... 186
Extracción de información de una aplicación ............................................ 187
Escaneo de vulnerabilidades ............................................................................ 188
Cracking de contraseñas .................................................................................. 189
Cracking de contraseñas de hash no conocido........................................... 189
Cracking de contraseñas de hash conocido ................................................ 191
Sniffing ............................................................................................................. 192
Wardialing ........................................................................................................ 195
Wardriving y Warchalking ............................................................................... 195
Protección de las comunicaciones ............................................................................. 197
Protección de dispositivos de red ........................................................................... 197
Hubs .................................................................................................................. 198
Switches ............................................................................................................ 198
Routers .............................................................................................................. 199
Protección de acceso con módem telefónico .......................................................... 199
WarDialers ........................................................................................................ 200
Dialers .............................................................................................................. 200
Protección de acceso de banda ancha .................................................................... 201
ADSL ................................................................................................................ 201
Cable ................................................................................................................. 201
Vulnerabilidades ............................................................................................... 202
Contramedidas ................................................................................................. 202
Protección de redes inalámbricas ............................................................................. 203
Contenido xi
Redes personales .................................................................................................... 203
Infrarrojos ......................................................................................................... 204
Bluetooth .......................................................................................................... 204
Redes de área local ................................................................................................. 204
Wi-Fi ................................................................................................................. 204
Seguridad básica al alcance de cualquiera ................................................. 206
Seguridad reforzada para empresas ............................................................ 206
Configuración del punto de acceso (AP) .................................................... 207
Configuración del cliente o clientes ........................................................... 208
Radio enlaces .................................................................................................... 209
Redes de área extendida .........................................................................................210
Comunicaciones analógicas ............................................................................. 210
Comunicaciones digitales ................................................................................ 210
Filtrado mediante cortafuegos .................................................................................. 211
Servicios ofrecidos por los cortafuegos .................................................................. 212
Debilidades de los cortafuegos ............................................................................... 213
Tecnologías de cortafuegos en Internet ................................................................. 214
Filtrado de paquetes ......................................................................................... 214
Puntos fuertes del filtrado de paquetes ....................................................... 215
Debilidades del filtrado de paquetes .......................................................... 216
Pasarelas proxy de aplicaciones ....................................................................... 216
Puntos fuertes de las pasarelas de aplicaciones ......................................... 217
Debilidades de las pasarelas de aplicaciones ............................................. 218
 Inspección multinivel de estados .................................................................... 218
Puntos fuertes de la inspección multinivel de estados ............................... 218
Debilidades de la inspección multinivel de estados ................................... 218
Cortafuegos personales: solución para el particular .............................................. 219
El cortafuegos de Windows XP ........................................................................ 219
Ejemplos de cortafuegos personales gratuitos ................................................. 221
ZoneAlarm .................................................................................................. 222
Outpost ........................................................................................................ 222
Kerio Personal Firewall 4 ........................................................................... 222
Cortafuegos dedicado: solución para la empresa .................................................. 224
La plataforma ................................................................................................... 224
La arquitectura ................................................................................................. 224
Ejemplos de cortafuegos empresariales ........................................................... 226
Check Point Firewall-1 ............................................................................... 227
Cisco PIX .................................................................................................... 228
Redes privadas virtuales ........................................................................................... 229
Redes privadas virtuales para el particular ........................................................... 229
Configuración del servidor ............................................................................... 229
Configuración del cliente ................................................................................. 231
Redes privadas virtuales para el entorno empresarial ........................................... 231
Referencias y lecturas complementarias ................................................................. 234
Bibliografía ............................................................................................................ 234
Internet ................................................................................................................... 234
Amenazas y contramedidas en una red ........................................................... 234
Protección de comunicaciones ......................................................................... 234
Cortafuegos ....................................................................................................... 235
xii Contenido
Redes privadas virtuales .................................................................................. 235
Wireless ............................................................................................................ 235
CAPÍTULO 5. Protección de equipos .................................................. 237
Fortalecimiento del sistema operativo .................................................................... 239
Reducción de la superficie de ataque ..................................................................... 241
Eliminación de servicios innecesarios ............................................................. 241
Protección de cuentas ....................................................................................... 243
Directivas de contraseñas ................................................................................. 244
Principio del mínimo privilegio ....................................................................... 246
Directivas de restricción de uso de software .................................................... 248
Permisos NTFS y listas de control de acceso ................................................... 250
Plantillas de seguridad ..................................................................................... 252
Configuración y análisis de seguridad de Windows XP .................................. 254
Windows Scripting Host (WSH) ...................................................................... 255
Explorador de Windows ................................................................................... 255
Mantenerse seguro ................................................................................................. 256
Configuración y revisión de rastros de auditoría ............................................. 256
Gestión de parches y actualizaciones de seguridad ......................................... 257
Windows Update ......................................................................................... 259
Windows Update Services (WUS) .............................................................. 260
Systems Management Server (SMS) 2003 ................................................. 261
¿Cuál elegir? ............................................................................................... 262
Herramientas automatizadas de auditoría y detección de vulnerabilidades .... 262
MBSA ......................................................................................................... 263
Nessus ......................................................................................................... 263
Información sobre agujeros de seguridad ........................................................ 264
Auditorías periódicas ....................................................................................... 266
Fortalecimiento de red .............................................................................................. 266
Cortafuegos del sistema operativo ......................................................................... 266
Protocolos ............................................................................................................... 266
NetBIOS ........................................................................................................... 267
SMB .................................................................................................................. 267
Restricción de la conexión anónima ................................................................ 268
UPnP ................................................................................................................. 268
Escritorio remoto .............................................................................................. 269
Fortalecimiento de la pila TCP/IP .........................................................................269
Protección contra ataques SYN........................................................................ 269
Protección contra ataques ICMP ...................................................................... 269
Protección contra ataques SNMP ..................................................................... 270
Fortalecimiento de aplicaciones ............................................................................... 270
Aplicaciones de servidor ........................................................................................ 270
Riesgos de los servidores .................................................................................. 270
Errores de aplicación .................................................................................. 271
Desbordamiento de búfer ............................................................................ 271
Mala configuración ..................................................................................... 272
Tipos de servidores más comunes .................................................................... 272
Servidor Web ............................................................................................... 273
Contenido xiii
Servidor de base de datos ........................................................................... 274
Servidor de correo ....................................................................................... 276
Aplicaciones de cliente .......................................................................................... 277
Navegación ....................................................................................................... 277
Correo electrónico ............................................................................................ 282
Office ................................................................................................................ 283
Programas P2P, chat y mensajería instantánea ................................................ 283
Riesgos ........................................................................................................ 284
Cómo protegerse y limitar su incidencia .................................................... 285
Control de contenidos de páginas Web .................................................................. 287
El asesor de contenidos de Internet Explorer .................................................. 287
Software patrulla para los niños ...................................................................... 288
Filtrado en la empresa ...................................................................................... 289
Filtrado en el proveedor ................................................................................... 290
Protección contra malware ....................................................................................... 290
Tipos de malware ................................................................................................... 290
Los virus y sus variantes .................................................................................. 290
Virus ............................................................................................................ 290
Gusanos ....................................................................................................... 292
Troyanos ..................................................................................................... 293
Bombas lógicas ........................................................................................... 294
Código móvil malicioso ................................................................................... 294
Applets de Java ........................................................................................... 295
JavaScript .................................................................................................... 296
Controles ActiveX ...................................................................................... 296
Por dónde se introduce el malware .................................................................. 296
Qué no es malware ........................................................................................... 297
Armas contra el malware ....................................................................................... 298
Funcionamiento de los antivirus ...................................................................... 298
Detección basada en firmas ........................................................................ 298
Detección heurística ................................................................................... 299
El futuro de los antivirus ............................................................................ 299
Gestión de antivirus ......................................................................................... 300
Defensa en profundidad .............................................................................. 301
Actualización de antivirus .......................................................................... 302
Respuesta a nuevos virus ............................................................................ 303
Educación, formación y concienciación ..................................................... 303
Herramientas antivirus ..................................................................................... 304
Máquinas virtuales aisladas ............................................................................. 306
Detección y recuperación tras una infección ......................................................... 306
La ingeniería social y sus variantes ......................................................................... 308
Ingeniería social ..................................................................................................... 308
Phising ................................................................................................................... 310
Bulos (hoaxes) ........................................................................................................ 311
Timos (scams) ........................................................................................................ 313
Tarjetas de crédito .................................................................................................. 314
Protección contra spam ............................................................................................. 315
El problema del spam ............................................................................................ 316
Lucha en el servidor ............................................................................................... 316
xiv Contenido
Inspección del sobre ......................................................................................... 317
Listas negras ............................................................................................... 317
Destinatarios válidos .................................................................................. 318
Marco para la política de remitentes .......................................................... 319
Inspección del contenido .................................................................................. 320
Reconocimiento de patrones ....................................................................... 321
Redes de colaboración ................................................................................ 321
Aprendizaje Bayesiano ............................................................................... 322
Qué hacer con el spam ..................................................................................... 322
Lucha en el cliente ................................................................................................. 322
Capacidades antispam de Outlook Express ..................................................... 323
Capacidades de Outlook 2003 ..........................................................................324
Software personal antispam ............................................................................. 326
Clientes de correo alternativos a Microsoft ..................................................... 326
Algunos consejos para eludir el spam ................................................................... 326
Referencias y lecturas complementarias ................................................................. 328
Bibliografía ............................................................................................................ 328
Internet ................................................................................................................... 328
Fortalecimiento del sistema operativo ............................................................. 328
Fortalecimiento de aplicaciones ....................................................................... 329
Protección contra malware ............................................................................... 330
La ingeniería social y sus variantes ................................................................. 330
Protección antispam ......................................................................................... 331
CAPÍTULO 6. Auditoría, detección de intrusiones
y análisis forense .............................................................................. 333
Cómo atacan los hackers .......................................................................................... 335
Identificación del objetivo ...................................................................................... 337
Recopilación de información sobre el blanco ........................................................ 337
Ataques Indirectos ............................................................................................ 337
Ataques directos ............................................................................................... 338
Análisis de la información e identificación de vulnerabilidades .......................... 338
Obtención del nivel de acceso apropiado .............................................................. 340
Realización del ataque sobre el objetivo ................................................................ 340
Completar el ataque ............................................................................................... 341
Detección de intrusiones en la red............................................................................ 342
Sistemas IDS .......................................................................................................... 344
Sistemas basados en firmas .............................................................................. 345
Sistemas basados en anomalías ........................................................................ 345
Tipos de IDS .......................................................................................................... 346
Utilización de un IDS para detectar ataques ......................................................... 346
Ubicación del IDS ............................................................................................ 347
Configuración del IDS ..................................................................................... 349
Operación del IDS ............................................................................................ 350
Plan de respuesta a incidentes .................................................................................. 350
Sistemas de prevención de intrusiones ..................................................................... 352
Distintos tipos de IPS ............................................................................................. 353
Funcionamiento de los IPS .................................................................................... 353
Contenido xv
Registros de auditoría de sistemas ........................................................................... 354
Registros del sistema .............................................................................................. 355
Configuración de la auditoría de sistema ........................................................ 356
Examen de los registros de auditoría ............................................................... 359
Entrada/Salida al sistema ................................................................................. 362
Acceso a los objetos .......................................................................................... 363
Auditoría de procesos ....................................................................................... 363
Otras plataformas ............................................................................................. 363
Registros de los elementos de comunicaciones ..................................................... 364
Puertos .............................................................................................................. 364
Direcciones IP .................................................................................................. 365
Pruebas y ataques comunes .............................................................................. 365
Registros de las aplicaciones ................................................................................. 366
Herramientas de análisis de registros .............................................................. 369
Análisis forense .......................................................................................................... 369
Captura de la evidencia .......................................................................................... 369
Evidencia volátil ............................................................................................... 369
Memoria ...................................................................................................... 370
Procesos en ejecución ................................................................................. 371
Cuentas de usuarios .................................................................................... 371
Datos de la red ............................................................................................ 371
Evidencia de disco ............................................................................................ 372
Análisis de la evidencia volátil .............................................................................. 372
Análisis de la información de disco ...................................................................... 373
Archivos de auditoría ....................................................................................... 373
Búsqueda dentro del sistema de archivos ........................................................ 373
Análisis de programas sospechosos ....................................................................... 375
Referencias y lecturas complementarias ................................................................. 375
Bibliografía ............................................................................................................ 375
Internet ................................................................................................................... 376
Cómo atacan los hackers .................................................................................. 376
Sistemas de detección de intrusiones ............................................................... 376
Respuesta a incidentes ...................................................................................... 377
Registros de auditoría....................................................................................... 377
Análisis forense ................................................................................................ 377
Apéndice A. Listas de tareas de seguridad ........................................ 379
Organización de la seguridad ...................................................................................380
Políticas de seguridad ............................................................................................ 380
Seguridad física ...................................................................................................... 381
Configuración segura de puestos de trabajo con Windows XP ............................. 381
Parches y actualizaciones ....................................................................................... 381
Mantenerse seguro ................................................................................................. 381
Sistema de archivos ............................................................................................... 382
Protocolos ............................................................................................................... 382
Cuentas ................................................................................................................... 382
Servicios ................................................................................................................. 382
Registro .................................................................................................................. 382
xvi Contenido
Recursos compartidos ............................................................................................ 382
Configuración segura de servidores con Windows 2000/2003 ............................... 382
Parches y actualizaciones ....................................................................................... 382
Mantenerse seguro ................................................................................................. 383
Sistema de archivos ............................................................................................... 383
Protocolos ............................................................................................................... 383
Cuentas ................................................................................................................... 383
Servicios ................................................................................................................. 383
Registro .................................................................................................................. 384
Recursos compartidos ............................................................................................ 384
Configuración segura de redes ................................................................................. 384
Routers ................................................................................................................... 384
Switches ................................................................................................................. 384
Cortafuegos ............................................................................................................ 384
Redes inalámbricas (WLAN) ................................................................................. 384
Uso de Internet ........................................................................................................... 385
Navegador .............................................................................................................. 385
Correo electrónico .................................................................................................. 385
Referencias y lecturas complementarias ................................................................. 385
Apéndice B. Herramientas de seguridad ............................................ 387
Herramientas de auditoría y ataque en Internet ................................................... 388
Escaneo de puertos ................................................................................................. 388
Enumeración .......................................................................................................... 388
Fingerprinting de sistema operativo ...................................................................... 388
Fingerprinting de aplicación .................................................................................. 389
Rastreo de información .......................................................................................... 389
Escaneo de vulnerabilidades .................................................................................. 389
Cracking de contraseñas ........................................................................................ 389
War Dialers ............................................................................................................ 390
Ataque de aplicaciones Web .................................................................................. 390
Puertas traseras y acceso remoto (detección) ......................................................... 390
Puertas traseras y acceso remoto (creación) .......................................................... 390
Ataque de bases de datos ....................................................................................... 391
Denegación de servicio (DoS) ............................................................................... 391
Herramientas de auditoría y ataque en redes locales ............................................ 391
Redirección de puertos ........................................................................................... 391
Sniffers ................................................................................................................... 391
War Driving ........................................................................................................... 392
Falsificación ARP .................................................................................................. 392
Herramientas de análisis forense ............................................................................. 392
Captura de la evidencia .......................................................................................... 392
Análisis de la evidencia volátil .............................................................................. 393
Análisis de logs ...................................................................................................... 393
Herramientas de protección ..................................................................................... 393
Antispam ................................................................................................................ 393
Antivirus ................................................................................................................ 393
Antivirus gratuitos ................................................................................................. 394
Contenido xvii
Antispyware ........................................................................................................... 395
Anonimato ............................................................................................................. 395
Borrado de rastros .................................................................................................. 395
Borrado de disco .................................................................................................... 396
Confidencialidad .................................................................................................... 396
Cortafuegos personales .......................................................................................... 397
Integridad ............................................................................................................... 397
Disponibilidad ........................................................................................................ 397
Información general .................................................................................................. 397
Revistas/Boletines .................................................................................................. 397
Convenciones .........................................................................................................398
Certificaciones (cursos) .......................................................................................... 398
Centros de respuesta .............................................................................................. 398
Portales de seguridad ............................................................................................. 399
Noticias .................................................................................................................. 399
Grupos de seguridad .............................................................................................. 399
Índice ...................................................................................................... 401
xviii Contenido
xix
> Acerca de los autores
Gonzalo Álvarez Marañón
Su formación académica incluye los títulos de Inge-
niero Superior de Telecomunicación y Doctor en In-
formática. Posee experiencia como criptólogo en
proyectos de investigación en el CSIC (Consejo Supe-
rior de Investigaciones Científicas), habiendo partici-
pado como contribuyente y conferenciante habitual
en congresos, publicaciones científicas y foros sobre
criptología y seguridad en Internet. En su faceta
divulgativa, ha sido columnista de varios periódicos
(El Mundo, El Correo) y colaborador en revistas espe-
cializadas (iWorld, PC World, Mundo Electrónico, SIC). Es autor del libro
Los mejores trucos para Internet (4ª edición). Imparte regularmente cursos
sobre seguridad informática para profesionales del sector. Fue pionero de la
seguridad en Internet en España con su sitio Criptonomicón (www.iec.csic.es/
criptonomicon), uno de los más antiguos de la comunidad latina. Esta
experiencia científica y divulgativa se completa con un gran conocimiento
práctico de la seguridad en Internet en el mundo real, tras su participación
en numerosos proyectos como diseñador de arquitecturas de seguridad,
desarrollador de aplicaciones seguras y auditor de seguridad.
Pedro Pablo Pérez García, CISSP
Su formación incluye los títulos de Ingeniero Superior
de Informática y Certified Information Security Profe-
sional (CISSP), otorgado por el prestigioso ISC2. Po-
see más de 10 años de experiencia como especialista
de seguridad en varios proyectos de ámbito nacional e
internacional, habiendo desarrollado su carrera profe-
sional como consultor de seguridad dentro de empre-
sas de la talla de Hewlett Packard o Telefónica. En su
faceta divulgativa imparte regularmente cursos sobre
seguridad informática para profesionales del sector y
colabora habitualmente en varios programas de postgrado en universidades
españolas.
(www.iec.csic.es/
xx Acerca de los autores
xxi
> Prólogo
En el momento de la publicación de esta obra, segunda mitad de 2004, el
número de adultos españoles que navegan por Internet superará amplia-
mente los 12 millones, lo que representa más de un tercio de la población
adulta. Y durante el año 2005, la difusión de Internet superará la mitad de
la población. Esto significa que Internet ha dejado de ser un lujoso y exóti-
co pasatiempo para convertirse en parte de la infraestructura de todo país
desarrollado.
Este crecimiento se produce en un entorno en el que los medios de co-
municación y los poderes tradicionales, quizá en defensa de su territorio,
tienden a hacer de Internet una fuente de noticias negativa. Por ejemplo, a
la luz de los numerosos casos descubiertos en los últimos años, parece que
un delito tan execrable como la pedofilia se asocia exclusivamente a Internet.
Sin embargo, esto no es así, Internet tan sólo ha hecho aflorar unas redes
delictivas que han existido hasta ahora de una manera mucho más oculta.
En vez de referirse a los efectos positivos como libre acceso, libertad de
expresión, difusión, instantaneidad, internacionalización o servicios al ciu-
dadano, se tiende a asociar Internet con pedofilia, timos, maníacos sexua-
les, terrorismo, abuso de derechos de autor, compras fraudulentas, robo de
información, difusión de virus, etc.
En este caldo de cultivo, aunque los usuarios creen que el uso del co-
mercio electrónico, el motor económico de la red, supone grandes ventajas
y se encuentran altamente motivados para el uso de la cada vez más amplia
gama de servicios ofrecidos a través de la Red, los problemas de seguridad,
como demuestran numerosos estudios, constituyen el principal factor de
desmotivación para el uso de Internet en transacciones que impliquen un
compromiso económico o la revelación de datos confidenciales.
La sensación de falta de seguridad no es tan sólo una creación artificial, ya que no trans-
curre un mes sin que se haga pública alguna vulnerabilidad que afecte a la principal herra-
mienta de acceso a Internet: el navegador Internet Explorer, utilizado por más del 90% de
los ordenadores. Los reiterados esfuerzos del primer fabricante mundial de software por
mejorar esta situación parecen haber sido hasta ahora completamente inútiles. Y se han
centrado más en mejorar los mecanismos de distribución de parches y actualizaciones que en
mejorar la calidad del software para disminuir el número de vulnerabilidades de seguridad.
En el entorno que acabamos de describir, las publicaciones sobre seguridad ciertamente
son abundantes. Sin embargo, el presente libro aparece en el momento adecuado y viene a
cubrir una necesidad de los usuarios avanzados, de los profesionales liberales y de las pymes.
Hasta la aparición de Seguridad informática para empresas y particulares resultaba patente
la inexistencia de obras en castellano que abordaran el tema de la seguridad informática y de
Internet desde un nivel intermedio. Es fácil encontrar obras para profesionales de la infor-
mática y las telecomunicaciones, pero hasta ahora no existía una obra como ésta destinada
tanto a esos usuarios avanzados que quieren profundizar en el tema, como al personal de
informática de pequeñas y medianas empresas en que no se necesitan complejas arquitectu-
ras de seguridad.
No cabe duda de que la obra que prologamos se convertirá en una de las referencias
bibliográficas de obligada lectura para cualquier persona de habla hispana que quiera adqui-
rir una visión amplia de la seguridad en la informática y las telecomunicaciones.
Juan Carlos G. Cuartango
Director de Instituto Seguridad Internet (www.instisec.com)
xxii Prólogo
www.instisec.com)
xxiii
> Introducción
"El único sistema verdaderamente seguro es aquel
que está apagado, encerrado en un bloque de hormigón y sellado
en una habitación recubierta de plomo con guardias armados…
y aun así tengo mis dudas."
Eugene Spafford, "Computer Recreations: Of Worms, Viruses
and Core War", Scientific American, marzo 1989, p. 110.
La seguridad no es una disciplina de todo o nada. No existen sistemas 100%
seguros. Cotidianamente realizamos innumerables acciones expuestas a di-
ferentes riesgos: conducimos el coche, montamos en bici, volamos en avión,
andamos de noche por la calle, bebemos agua del grifo, pagamos con tarjeta
de crédito en el restaurante, en fin, son tantas las cosas que hacemos sujetas
a riesgos que no podrían enumerarse todas. Y a pesar de ello, las seguimos
haciendo. Sabemos que podemos tener un accidente de coche, pero confia-
mos en nuestra pericia como conductores, en la tecnología de los modernos
automóviles, en las carreteras y hasta nos fiamos del que viene de frente.
Ponerse el cinturón o llevar un airbag de serie no evitará un accidente, pero
mitigará el daño si se produce. No beber antes de conducir o circular de día
puede reducir el riesgo de accidente. Como se ve, la seguridad gira en torno
a la gestión del riesgo. Todos sabemos que ni los coches, ni los aviones, ni
los trenes son 100% seguros y, a pesar de todo, seguimos usándolos a dia-
rio. ¿Por qué? Porque aunque sea de manera inconsciente, realizamos un
sencillo análisis de riesgos y decidimos seguir adelante o no. No bebemos
xxiv Introducción
agua del grifo en un país subdesarrollado ni andamos de noche por un callejón oscuro del
peor barrio de la ciudadni meteríamos en casa a un desconocido. A veces nos equivocamos
en la evaluación del riesgo, a veces se producen fallos técnicos, a veces nos hemos precipita-
do y no hemos reflexionado previamente. La vida puede verse como una constante toma de
decisiones en la que se evalúa el riesgo y se actúa en consecuencia.
La aspiración de este libro es enseñarle a gestionar el riesgo de la información. Los
sistemas informáticos están expuestos a amenazas de todo tipo. Primero debe saber identifi-
carlas, para poder evaluarlas y decidir las medidas de seguridad que adoptará para mitigar el
riesgo que suponen. Decidirá si merece la pena implantar una contramedida o si es mejor
aceptar el riesgo tal cual. Tratar de eliminar el riesgo por completo es imposible. Nuestro
objetivo es enseñarle a reducirlo hasta unos niveles aceptables, que le permitan convivir con
él. En el fondo sabe que un avión, por poder, puede caerse en pleno vuelo, pero no por ello
deja de utilizarlo. Con la seguridad informática ocurre igual. Aunque muchas cosas pueden
fallar, si aprende a controlar el riesgo podrá sentirse cómodo con la informática, confiar en
ella y sacarle el máximo provecho.
Por qué este libro
La idea seminal de este libro germinó en una terraza. Nos encontrábamos charlando con un
amigo que tiene una pequeña empresa de diez trabajadores, quien nos pidió que le recomen-
dáramos un libro sobre seguridad informática. Nos vinieron a la cabeza numerosos títulos,
pero rápidamente los desechábamos, ya que no resultaban adecuados para las necesidades de
nuestro amigo.
Pronto nos dimos cuenta del hecho de que la práctica totalidad de libros de seguridad
informática que existen actualmente en el mercado editorial abordan el tema desde una
perspectiva y lenguaje excesivamente técnicos, estando orientados principalmente hacia un
público muy profesional y especializado: administradores de red, consultores de seguridad,
diseñadores de aplicaciones, desarrolladores de software, programadores, directivos de em-
presas, etc. Por consiguiente, se aprecia un vacío de obras orientadas hacia el mercado del
profesional liberal y la pyme, segmento conocido como SOHO (Small Office/Home Office):
Usuarios que disponen en sus casas u oficinas de un solo ordenador conectado a
Internet a través de un módem telefónico o una línea ADSL.
Usuarios que han creado una pequeña red doméstica con 2 o 3 ordenadores, a menu-
do interconectados con tecnologías WiFi con el fin de evitar los problemas de cableado,
y con salida a Internet.
Pequeñas empresas con una reducida LAN de hasta una docena de equipos
interconectados mediante un concentrador (hub), o un conmutador (switch), o un
punto de acceso inalámbrico, compartiendo todos ellos el acceso a Internet mediante
un router ADSL de 256 Kbps.
Mirando nuestras estanterías, encontramos libros que tratan en exclusiva el tema de los
cortafuegos, las redes privadas virtuales, la criptografía, la detección de intrusos, el análisis
forense, y así sucesivamente. Cada libro trata un tema muy concreto con gran nivel de deta-
lle, pero ninguno ofrece una perspectiva global de la seguridad. Evidentemente, un lector del
sector SOHO antes descrito, interesado en adquirir un conocimiento práctico sobre la segu-
ridad, que pueda aplicar en su situación particular, no puede comprar ni leer todos esos
Introducción xxv
libros. En primer lugar, es seguro que carecerá del bagaje técnico para comprenderlos. En
segundo lugar, esos libros están orientados a las grandes redes, con cientos o incluso miles
de ordenadores, con complejas arquitecturas y requisitos de confidencialidad, integridad y
disponibilidad muy superiores a los del usuario de SOHO convencional, por lo que las solu-
ciones proporcionadas a menudo no son de aplicación en su entorno. En pocas palabras, esos
libros de seguridad le resultarán prácticamente inútiles al lector medio. Sin embargo, sus
necesidades de protección son igualmente acuciantes.
Así pues, surgió la idea de escribir un libro capaz de ofrecer una visión de la seguridad de
la información completa y muy práctica a todos aquellos usuarios del sector SOHO y usua-
rios domésticos no profesionales que sientan la necesidad de proteger sus recursos informáticos
frente a atacantes externos o internos o frente a desastres grandes o pequeños.
A quién está dirigido el libro
El libro está destinado a cualquier persona que pretenda iniciarse en la gestión de la seguri-
dad de la información. Tanto el usuario particular como los técnicos informáticos de las
pymes encontrarán en el libro la ayuda necesaria para entender la seguridad informática más
allá de la instalación de una serie de productos. Obtendrán una visión global y podrán plan-
tear sin problemas una estrategia eficaz para proteger sus sistemas.
El error más desafortunado que puede cometer una empresa o un particular es esperar a
que ocurra un desastre para adoptar una postura segura. ¿Cuántas personas no han realizado
nunca copias de seguridad de sus archivos hasta que un día los perdieron todos? ¿Cuántas
empresas no han instalado un cortafuegos hasta después de haber sido atacadas con éxito?
¿Cuántas organizaciones no han implantado una política de seguridad que defina el uso
aceptable de sus recursos informáticos hasta después de una demanda judicial? En seguridad
existe una vieja máxima que reza:
Cuando no ocurre nada, nos quejamos de lo mucho que gastamos en seguridad.
Cuando algo sucede, nos lamentamos de no haber invertido más.
El propósito del presente libro es elevar el nivel de conocimiento de seguridad informá-
tica del lector, así como concienciarle en los temas referentes a seguridad de la información.
Las pequeñas empresas y particulares no se caracterizan por su iniciativa en materia de
seguridad. Es difícil convencer a alguien de que pague más por algo que hace lo mismo,
aunque lo haga de forma más segura. Quedará claro a lo largo de las páginas del libro que
cualquier ordenador, incluso si no está conectado a Internet, está expuesto a amenazas. No
hay que esperar a que se materialicen en forma desastrosa para hacer algo al respecto. Es
verdad que puede que nunca pase nada malo, pero es más probable que suceda una calami-
dad. Por eso hay que tomar la iniciativa, hay que adelantarse al desastre. Paradójicamente,
tal y como se verá, implantar la seguridad tampoco tiene por qué ser caro. La mayor parte de
herramientas descritas en el libro o vienen suministradas con el propio sistema operativo
o son gratuitas. No hay excusa para no actuar desde ya y empezar a trazar un plan de segu-
ridad.
Todos los temas del libro pueden aplicarse a empresas y particulares, aunque el nivel de
implantación de las soluciones variará de unos a otros. Por ejemplo, todos los equipos debe-
rían estar protegidos por un cortafuegos, aunque la elección de un cortafuegos personal
gratuito, o de un cortafuegos software o hardware dedicado, dependerá ya de cada caso
concreto. Como segundo ejemplo, considérense las actualizaciones de seguridad: todos los
equipos y dispositivos deberían actualizarse regularmente, pero en función de las necesida-
des se optará por un mecanismo u otro, sometiéndose las actualizaciones a un proceso de
prueba más o menos riguroso, etc.
En definitiva, todos los conceptos presentados encontrarán su aplicación tanto en parti-
culares como en empresas, pero siempre amoldándose a las necesidades de unos y otros.
Incluso temas más organizativos, como la definición de políticas de seguridad, deberían ser
considerados por los particulares: aunque no redacten documentos, sí deberían establecer
una serie de normas verbales para todos los que usan el ordenador. Es la intención de este
libro ayudar al lector a recapacitar sobre los muchos aspectos de la seguridad en los que a lo
mejor no había reparado, pero que revisten una importancia capital para asegurar a largo
plazo la información y los recursos.
Cómo se organiza este libro
La información proporcionada a lo largo del libro se ha estructurado en seis capítulos:
1. Introducción