Seguridad-Informatica-PDF

Vista previa del material en texto

Centro Universitario de la Costa Sur 
 
 
1 
José Luis Gomez Santana.                                                                      25/11/2014 
SEGURIDAD INFORMATICA 
Una visión global 
Centro Universitario de la Costa Sur 
 
 
2 
 
Indice 
Seguridad informática ..................................................................................................................... 3 
Introducción .................................................................................................................................... 4 
Historia y principios de la seguridad informática ............................................................................ 5 
¿Qué es el riesgo? ........................................................................................................................... 6 
Estado, preocupaciones y riesgos  actuales .................................................................................... 8 
¿Cuál es el nivel de riesgo en la actualidad? ................................................................................... 8 
¿Cuál es el nivel de riesgo en la actualidad? ................................................................................... 8 
Tipos de ataques actuales: Ataques híbridos .................................................................................. 9 
Tipos de ataques actuales: Ingeniería social ................................................................................... 9 
¿Donde queda la criptografía en todo esto? ................................................................................ 11 
Costes de la seguridad .................................................................................................................. 11 
Problemas colaterales de la seguridad .............................................................................. 12 
En las grandes compañías .................................................................................................... 12 
Costes & ROI (Return of Investment) .................................................................................. 12 
Problemas colaterales de la seguridad en las grandes compañías ............................................... 13 
Tecnologías .................................................................................................................................... 13 
¿Qué tecnologías existen y cuál es su estado actual? ................................................................... 13 
¿Qué tecnologías existen y cuál es su estado actual? ................................................................... 14 
¿Cuáles son las tendencias actuales? ............................................................................................ 14 
¿Cuáles son las tendencias actuales? ............................................................................................ 15 
¿Cuáles son las tendencias actuales? ............................................................................................ 15 
¿Cuáles son las tendencias actuales? ............................................................................................ 15 
LEYES PARA COMPRENDER LA SEGURIDAD INFORMÁTICA .......................................................... 16 
LA SEGURIDAD DE LAS REDES SOCIALES ....................................................................................... 16 
¿QUIÉN ES EL MALO DE LA PELÍCULA? .......................................................................................... 17 
 
 
Centro Universitario de la Costa Sur 
 
 
3 
 
 
Seguridad informática 
Desde la consolidación de Internet como medio de interconexión global, los 
incidentes de seguridad relacionados con sistemas informáticos vienen 
incrementándose de manera alarmante. Este hecho, unido a la progresiva 
dependencia de la mayoría de organizaciones hacia sus sistemas de información, 
viene provocando una creciente necesidad de implantar mecanismos de protección 
que reduzcan al mínimo los riesgos asociados a los incidentes de seguridad. En 
este artículo, vamos a proporcionar una visión general de los aspectos más 
relevantes de la seguridad informática, observando esta disciplina desde un punto 
de vista estratégico y táctico. Para ello destacaremos la conveniencia de afrontar su 
análisis mediante una aproximación de gestión, concretamente con un enfoque de 
gestión del riesgo. Para completar esta visión introductoria a la seguridad 
informática, mencionaremos las amenazas y las contramedidas más frecuentes que 
deberían considerarse en toda organización. 
 
 
 
 
Centro Universitario de la Costa Sur 
 
 
4 
 
 
Introducción 
La seguridad informática, de igual forma a como sucede con la seguridad aplicada 
a otros entornos, trata de minimizar los riesgos asociados al acceso y utilización de 
determinado sistema de forma no autorizada y en general malintencionada. Esta 
visión de la seguridad informática implica la necesidad de gestión, 
fundamentalmente gestión del riesgo. Para ello, se deben evaluar y cuantificar los 
bienes a proteger, y en función de estos análisis, implantar medidas preventivas y 
correctivas que eliminen los riegos asociados o que los reduzcan hasta niveles 
manejables. 
 En general cualquier persona consideraría poco razonable contratar a un agente 
de seguridad en exclusiva para proteger su domicilio. Posiblemente sería una 
medida de seguridad excelente para evitar accesos no autorizados a nuestro 
domicilio, sin embargo, muy pocos lo considerarían, simplemente por motivos 
económicos. Tras evaluar el valor de los bienes a proteger, lo habitual sería 
considerar otras medidas más acordes con el valor de nuestros bienes. Podríamos 
pensar en una puerta blindada, un conserje compartido con otros vecinos o incluso 
un servicio de vigilancia privada basada en sensores, alarmas y acceso telefónico 
con una central de seguridad. Combinando estas medidas preventivas con otras 
correctivas como podría ser una póliza de seguro contra robo, alcanzaríamos un 
nivel de seguridad que podría considerarse adecuado. Muchas veces sin hacerlo de 
Centro Universitario de la Costa Sur 
 
 
5 
forma explícita, habríamos evaluado el valor de nuestros bienes, los riesgos, el 
coste de las medidas de seguridad disponibles en el mercado y el nivel de 
protección que ofrecen. 
 En seguridad informática, los principios mostrados con nuestro ejemplo de 
seguridad en el domicilio son igualmente aplicables. 
 Las únicas diferencias aparecen por las particularidades técnicas asociadas a 
los sistemas informáticos. La valoración económica de los bienes a proteger puede 
ser muchas veces una tarea compleja, la casuística de los riesgos potenciales muy 
grande, y la complejidad y diversidad de las medidas de seguridad disponibles 
dificulta su selección. Sin embargo, el fondo sigue siendo el mismo, seguridad 
implica proteger alguna entidad frente a un conjunto de riesgos y en este caso 
riesgos relacionados con los sistemas informáticos. 
Existen varias razones por las que a todos los niveles no se le ha dado a suficiente 
importancia: 
1. El riesgo y las consecuencias de ignorarlo eran mínimos. 
2. Siempre ha sido incomoda: mucho esfuerzo -> poco resultado. 
3. Los posibles ataques requerían muy altos niveles de conocimiento. 
4. El acceso al conocimiento y a las redes era muy limitado. 
 
Historia y principios de la seguridad informática 
 En Junio de 1942 un problema criptográfico japonés tuvo como consecuencia 
la destrucción de sus 4 mayores portaaviones y supuso el fin del dominio 
japonés del Pacífico. 
 El 2 de Noviembre de 1988 un joven llamado Robert Morris escribió un 
pequeño programa capaz de, usando algunas vulnerabilidades de UNIX, 
transmitirse de unos sistemas a otros a gran velocidad infectándolos supaso. 
Centro Universitario de la Costa Sur 
 
 
6 
En unas horas miles deequipos tenían sus CPUs al 100% sin solución de 
continuidad. Se trataba del primer Gusano (Worm) de la historia. 
 
En Junio de 2005 un hacker logró un listado de 40 millones de tarjetas de 
crédito. Servired, Visa y 4B tuvieron que localizar y avisar urgentemente a 
más de 50.000 clientes en España del riesgo que corrían. 
 Históricamente la seguridad no ha sido nunca vista como una parte más de las 
tecnologías de la información, sino como algo propio de pequeños círculos de 
amistades, curiosos o gurús .En las universidades no existían (en muchas aún hoy 
no existen) asignaturas relacionadas con la seguridad. En el mundo empresarial 
aun hoy existe esta tendencia en muchos casos. 
 
¿Qué es el riesgo? 
Riesgo = vulnerabilidades * amenazas 
Si no hay amenazas no hay riesgo 
Si no hay vulnerabilidades no hay riesgo 
 
Centro Universitario de la Costa Sur 
 
 
7 
Factores que se consideraban fuentes de amenzaza:  
 
 
Evolución mundial de las vulneraberilidades: 
 
 
 
 
 
 
 
 
 
 
 
Centro Universitario de la Costa Sur 
 
 
8 
 
Estado, preocupaciones y riesgos actuales 
¿Cuál es el nivel de riesgo en la actualidad? 
1.- Las vulnerabilidades se disparan todos los años: 
 
¿Cuál es el nivel de riesgo en la actualidad? 
2. Las amenazas también aumentan: Cada vez es necesaria menos especialización 
y menos conocimiento técnico para llevar a cabo ataques, robar y/o modificar 
información o cometer fraudes. No sólo está disponible y al alcance de todos la 
información sobre los fallos y las vulnerabilidades sino que también lo están los 
“exploits” y las herramientas para llevar a cabo todo tipo de acciones. 
Si además tenemos en cuenta que: 
1. Hoy día todo está conectado con todo 
2. El número de usuarios de la red crece exponencialmente 
3. Cada vez hay más sistemas y servicios en la red. El nivel de riesgo es 
suficientemente alto como para empezar a pensar en la seguridad como algo 
imprescindible. 
 
 
Centro Universitario de la Costa Sur 
 
 
9 
Tipos de ataques actuales: Ataques híbridos 
Son ataques en los que se mezclan más de una técnica: DOS, DDOS, Exploits, 
Escaneos, Troyanos, Virus, Buffer Overflows, Inyecciones, etc. 
Suelen ser de muy rápida propagación y siempre se basan en alguna vulnerabilidad 
de algún sistema. Por ejemplo los gusanos Blaster, Sasser, o Slammer se 
propagaron por todo el planeta en cuestión de pocas horas gracias a una mezcla de 
técnicas de “uso de vulnerabilidad”, Buffer Overflows, escaneado de direcciones, 
transmisión vía Internet, y mimetización en los sistemas. Como curiosidad: el 75% 
de los ataques tienen como telón de fondo técnicas de Buffer Overflow 
¿No podrían ser evitadas? 
Tipos de ataques actuales: Ingeniería social 
Son ataques en los que se intenta engañar a algún usuario para hacerle creer como 
cierto algo que no lo es. 
- Buenos días, ¿es la secretaria del Director del Departamento? 
- Si dígame, ¿que desea? 
- Soy Pedro, técnico informático del Centro de Apoyo a Usuarios y me han avisado 
para reparar un virus del ordenador del director pero la clave que me han indicado 
para entrar no es correcta, 
¿Podría ayudarme, por favor? 
Otros ataques de este tipo son: 
• Farming 
• SPAM 
• Pishing 
• Cajeros automáticos 
• ETC. 
Tipos de ataques actuales: Ingeniería social 
Centro Universitario de la Costa Sur 
 
 
10 
El ataque que más preocupa hoy en día a las grandes organizaciones, sobre todo 
en el sector de banca online es, con diferencia, el “PISHING”: 
 
 
 
 
Centro Universitario de la Costa Sur 
 
 
11 
¿Qué preocupa y qué no en un proyecto de seguridad? 
Existe un problema subyacente en la mente de TODOS los Directores de informática 
de las grandes compañías que nunca debemos olvidar si queremos tener éxito en 
la implantación de un sistema de seguridad: 
“La compañía puede vivir sin seguridad pero no sin comunicaciones” 
Si un sistema de seguridad, por muy maravilloso que sea, destinado a evitar 
problemas que pueden no haberse producido aun puede generar problemas 
nuevos, ese sistema NO SERA ACEPTADO. 
¿Donde queda la criptografía en todo esto? 
Los estándares actuales de cifrado de la información (AES, DES, RSA, MD5, etc., 
etc.) son globalmente aceptados como buenos y suficientes en la mayoría de los 
casos, quedando su estudio reducidos a pocos entornos, Universidades, Fuerzas 
del Orden, Ministerios, etc. 
La criptografía capta la atención general pocas veces, pero cuando lo hace suele 
ser por algo serio, cuando algún protocolo y/o algoritmo es “reventado”. Por ejemplo, 
WEP, el cifrado que usan las redes WiFi basado en RC4 que puede ser descifrado 
si se consigue una captura de tráfico suficientemente grande. 
 
Costes de la seguridad 
El esfuerzo tanto económico como humano de los Departamentos de Seguridad 
debe buscar siempre cuatro objetivos: 
1. Disponibilidad se consideran sistemas aceptables a partir de dos nueves, esto 
es: disponibles el 99,99% del tiempo. La inversión por cada nueve extra es siempre 
muy elevada. 
2. Confidencialidad: Seguridad “keep the good giys in” 
3. Integridad: Seguridad “Keep the bad guys out” 
4. Cumplimiento de la legalidad: LOPD, Sarbanes-Oxley, ISO17799. 
Centro Universitario de la Costa Sur 
 
 
12 
El esfuerzo económico en seguridad es imposible de medir pero como éste debe ser siempre 
proporcional al riesgo de perdidas, que SI ES MEDIBLE, si es posible hacer estimaciones 
razonables. 
 
Problemas colaterales de la seguridad 
En las grandes compañías 
Costes & ROI (Return of Investment) 
1. Costes de personal 
1. Difícil encontrar técnicos cualificados 
2. Muy alta rotación en según qué sectores 
2. Costes tecnológicos: HW, SW, ROI 
3. Costes ocultos (a menudo elevados) 
4. Costes de cumplimiento de la legalidad (LOPD, Sarbanes-Oxley, etc) 
5. Costes de cumplimiento de políticas y normativas. 
6. Costes de seguros (aprox. 25% de las compañías) 
 
Centro Universitario de la Costa Sur 
 
 
13 
Problemas colaterales de la seguridad en las grandes compañías 
2. De organización lleva mucho tiempo y esfuerzo conocer e integrar cualquier 
sistema de seguridad cuando hay implicado más de un departamento. 
Se estima que 30 minutos de un Hacker pueden suponer una semana de trabajo de 
un ingeniero con experiencia para reparar lo dañado y prevenir nuevos incidentes. 
3. De garantía de disponibilidad. 
4. De garantía de ajuste a normativa y legalidad. 
 
 
 
 
 
 
 
 
 
 
 
 
 
Tecnologías 
¿Qué tecnologías existen y cuál es su estado actual? 
Desde el punto de vista empresarial existen dos posibles enfoques para clasificar 
los sistemas de seguridad: 
1. Según coste: 
1. Software libre: Linux, Snort, Nessus, Ethereal, etc. Suele ser difícil implantar este 
tipo de sistemas salvo que haya verdaderos problemas presupuestarios. 
2. Sistemas propietarios: Microsoft, Sun, IBM, Symantec, ISS, Checkpoint, Trend, 
etc. 
Gran calidad debida a la competencia. 
Centro Universitario de la Costa Sur 
 
 
14 
¿Qué tecnologías existen y cuál es su estado actual? 
Desde el punto de vista empresarial existen dos posibles enfoques para clasificar 
los sistemas de seguridad: 
2. Desde el punto de vista de su utilidad: 
1. “Keep the good guys in”: VPN, PKI, RAS, Radius, Tacacs+, Single Sing On, etc. 
2. “Keep the bad guys out”: AntiVirus, FW, IPS, IDS, ADS, etc. 
 
 
 
 
 
 
 
 
 
 
 
 
¿Cuáles son las tendencias actuales? 
Firewalls 
 Todas las compañías montan sistemas de filtrado de paquetes, bien 
 Mediante FireWalls, bien mediante listas de control de acceso en 
 routers. 
 Existen FW personales cuya utilidad suele cuestionarse (a favor de los 
 IPS personales) 
Antivirus 
 Se montan siempre a dos niveles: a nivel de red (para filtrar correo Electrónico 
principalmente) y a nivel de puesto de trabajo. 
 
Centro Universitario de la Costa Sur 
 
 
15 
¿Cuálesson las tendencias actuales? 
IDS 
Los sistemas de detección de intrusos han estado ayudando a detectar problemas 
en las redes durante años pero su incapacidad de detener los ataques que ellos 
mismos detectaban y la gran cantidad de alarmas que generaban (imposibles de 
perseguir) han dado paso a los IPSs 
IPS 
Están en pleno auge. Son capaces de detectar y detener tanto ataques conocidos 
como desconocidos, detectar y detener virus, troyanos, aislar hackers cuando se 
les detecta y hasta proteger a los otros elementos de seguridad de la red, por 
ejemplo a los Firewalls. 
ADS 
Sistemas de detección de anomalías. Son totalmente novedosos y aún es pronto 
para hablar de sus resultados reales. Tecnologías 
¿Cuáles son las tendencias actuales? 
Single Sign-on 
Han sido, son y seguirán siendo de gran utilidad, máxime en las grandes empresas 
donde la gran variedad de sistemas y claves a memorizar convierten los post-it junto 
a los monitores en algo común. 
Control de acceso a red 
Microsoft y Cisco están en plena pugna por “llevarse el gato al agua” en lo que a 
control de acceso a red se refiere y aunque recientemente anunciaron su intención 
de colaborar, lo cierto es que cada uno sigue por su lado, NAP, NAC… el tiempo 
dirá…Tecnologías 
¿Cuáles son las tendencias actuales? 
VPN + PKI 
Durante años el binomio VPN + PKI han dominado el mundo de los accesos remotos 
seguros pero la necesidad de instalar un cliente de VPN en el PC los ha hecho 
incómodos. Están dejando paso a marchas forzadas a las VPN + SSL. VPN + SSL. 
Sin más complejidad para el cliente que conectarse a una página web segura de la 
compañía para poder entrar en ella vía VPN. Sencillas, cómodas y ligeras. Existen 
ya sistemas basados en appliances de red. 
 
 
Centro Universitario de la Costa Sur 
 
 
16 
LEYES PARA COMPRENDER LA SEGURIDAD INFORMÁTICA 
1. Todo es mentira. 
2. Las cosas funcionan de casualidad. 
3. El mundo es un gran trapicheo. 
4. En una empresa toda persona va ascendiendo hasta que llega a su máximo nivel 
de incompetencia (Principio de Dilbert). 
 
LA SEGURIDAD DE LAS REDES SOCIALES 
Otra pregunta podría ser: ¿Son seguras las redes sociales como Facebook o 
Tuenti? La respuesta en clave de humor sería la siguiente: “Vamos hombre, las 
redes sociales son un gran invento, ahora la cosa está más fácil para, digámoslo 
así, intimar cariñosamente con personas del sexo opuesto. ¡Si nuestros abuelos 
hubieran tenido estas herramientas!” Ya más seriamente, el problema no es que 
existan las redes sociales, sino que la gente se conciencie que lo que escribe ahí 
es algo que tiene visibilidad para otras personas, es público. ¿Público? ¿No 
estamos protegidos? Obviamente no. ¿Quién tiene los datos? ¿Quién tiene un 
conocimiento profundo sobre las opciones de configuración de las redes sociales y 
el funcionamiento de sus bases de datos? Pues digamos que nadie, lo cual hace 
muy difícil decir que los datos almacenados en esas páginas sean seguros. 
De la relevancia de las redes sociales y de su accesibilidad para conocer qué hacen 
y piensan las personas da idea el hecho de que muchas empresas de recursos 
humanos, antes de decidir la entrevista o contratación de una persona, realizan 
rastreos exhaustivos en la red en busca de información sobre ella. 
 
 
 
 
 
 
Centro Universitario de la Costa Sur 
 
 
17 
¿QUIÉN ES EL MALO DE LA PELÍCULA? 
Si pensamos en fallos de seguridad, hemos de pensar en responsables de los 
fallos de seguridad. Pensemos un segundo… ¡Ya está! ¡Los informáticos! Si algo 
falla, está claro que son los informáticos, y si algo funciona está claro que es por 
casualidad. Podemos comprobarlo en las noticias de los periódicos. Suelen ser de 
este tipo: “Un error informático deja a miles de usuarios sin acceso al servicio 
nacional de salud”, o “Un error informático provoca el caos en los aeropuertos”, “Un 
error informático…”, otro error informático, muchos errores informáticos. ¿Qué es lo 
que falla cuando falla la seguridad informática? Muchas veces lo que falla es que 
no hay dinero para seguridad. ¿Pero dónde se ha ido el dinero? ¿Se lo han llevado 
los políticos corruptos? Quizás sí, quizás no, pero lo que parece claro es que en las 
empresas e instituciones falta conciencia sobre lo importante que es la seguridad 
informática… hasta que se produce un fallo importante. De hecho, cuando una 
empresa se decide desde el principio a pagar por seguridad, ¿qué es lo que ve? 
Pues ve que no pasa nada, es decir, que las cosas funcionan mejor o peor. Y si las 
cosas funcionan, ¿para qué nos vamos a gastar un dinero en seguridad informática 
que nos podríamos ahorrar? Entonces tenemos planteado el dilema: si se gasta 
dinero en seguridad no pasa nada y nos preguntamos por qué gastarlo, y si no se 
gasta estamos en peligro ¿Qué hacer? 
 
 
 
 
 
 
Centro Universitario de la Costa Sur 
 
 
18 
 
 
 
 
 
 
 
Black hat & White hat 
 
Un hacker de sombrero blanco (del inglés, white hat), en jerga informática, se refiere 
a una ética hacker que se centra en asegurar y proteger los sistemas 
de Tecnologías de información y comunicación.6 Estas personas suelen trabajar 
para empresas de seguridad informática las cuales los denominan, en ocasiones, 
«zapatillas o equipos tigre».7 
Por el contrario, los hackers de sombrero negro (del inglés, black hat), también 
conocidos como "crackers" muestran sus habilidades en informática rompiendo 
sistemas de seguridad de computadoras, colapsando servidores, entrando a zonas 
restringidas, infectando redes o apoderándose de ellas, entre otras muchas cosas 
utilizando sus destrezas en métodos hacking. 
En los últimos años, los términos sombrero blanco y un sombrero negro han sido 
aplicados a la industria del posicionamiento en buscadores (search engine 
optimization, SEO). Las tácticas de posicionamiento en buscadores de los hackers 
de sombrero negro, también llamada spamdexing, intento de redireccionar los 
resultados de la búsqueda a páginas de destino particular, son una moda que está 
en contra de los términos de servicio de los motores de búsqueda, mientras que los 
hackers de sombrero blanco, utilizan métodos que son generalmente aprobados por 
los motores de búsqueda.