Ensayo-seguridad-informatica

Vista previa del material en texto

CRISTHIAN DAVID FERNANDEZ RAMIREZ 
UNAD 
2018 
Seguridad Informática: El hacking ético y la ingeniería social. 
 Cuando caminas por una ciudad iluminada y ves presencia de policías te sientes 
seguro, la percepción de tu seguridad es óptima, pero cuando vas en una calle sola, 
sin iluminación te sientes inseguro, caminas rápido y deseas salir rápido de allí, en 
las noticias que escuchas sea por boca de tus vecinos o la televisión y observas la 
cantidad de hurtos, homicidios en las calles colombianas y buscas la manera de 
evitar esas calles o creas hábitos seguros para no ser víctima. Así mismo pasa a 
nivel cibernético en un informe que dio la firma Digiware en el que manifestó que en 
un año en Colombia se presentaron 198 millones de ataques cibernéticos, pero aun 
así los ciudadanos no toman ninguna medida de seguridad en sus smartphones o 
computadores. Por lo general siempre compras uno y no se invierte en un antivirus 
bueno, siempre se lleva el computador al técnico de barrio para que le instale un 
antivirus x, y eso que existen antivirus ya muy buenos como el del mismo Windows. 
Las que ya han despertado y tienen en su presupuesto de inversión en protección 
cibernética son las grandes empresas o multinacionales. (Rojas, 2008) 
 Es por eso que en [(Rojas, 2008)] manifiesta que la seguridad informática ya es 
un punto critico en internet, debido al aumento de amenazas que se presentan en 
distintas formas (Virus informáticos, gusanos, spyware, caballo de Troya, el 
pharming, el pshishing scam, ataques de denegación de servicios), las empresa 
invierten ya una gran cantidad de sus recursos en infraestructura para proteger el 
activo más importante que es la información. Pero hay un problema y es que así se 
tenga todo un hardware o software las empresas y personas recibirán un ataque 
cibernético porque el usuario final que no tiene conocimientos técnicos será el 
eslabón débil por donde entrara la amenaza, es por eso que las personas se están 
viendo afectadas en su economía y privacidad como ejemplo los fraudes en línea o 
el robo de información personal. 
 Los problemas mas comunes para estas personas que se pueden encontrar son 
los virus informáticos (programas hechos para alterar el funcionamiento del 
computador) ej: cuando un usuario descarga una canción de un sitio web dudoso 
ejecutara un virus que venga en el; Gusano de Internet (Programa hecho para 
propagarse por si mismo en la red aprovechando fallas de seguridad) Caballos de 
Troya (El programa que viene camuflado en otro) Spyware (Son programas para 
espiar y recopilar información) Pharming (redirigen a un sitio web distinto al que se 
visita) Phishing scam (mecanismos para robar información personal y suplantar al 
usuario) Ingeniería social ( Es el arte de engañar a un usuario con cualquier dato o 
información que dejo en la red). 
 Los gobiernos y empresa están buscando las maneras didácticas para enseñarle 
a los usuarios finales del porque aprender y conocer los riesgos en internet, en 
Colombia podemos ver campañas en redes del centro cibernético policial y en otros 
países con cartillas y manuales. (Bebea, 2015) 
 
 Las instituciones a la hora de que un usuario interactúe con un sistema informático 
definen unas responsabilidades y roles de usuario definiendo interrogantes como 
¿Quién es el autorizado para usar los recursos? ¿Cuál es el uso que le dará? 
¿Quién esta autorizado para conceder acceso y aprobar el uso? ¿Quién tendrá 
privilegios de administración del sistema? ¿Qué hará con la información 
suministrada? (ALVAREZ, 2005) 
 En los sistemas informáticos de una entidad siempre es vital proteger al servidor 
de servicios como lo llaman el “corazón” del sistema informático un fallo en él es 
una catástrofe para los datos. Es allí donde varias entidades han trabajado en 
sistemas para detectar cualquier intrusión al sistema, además es un sistema 
inteligente que sirve para identificar el nivel de amenaza de una intrusión y así tomar 
decisiones de desconectar el firewall o aislar el servidor. Se dispone también de un 
antivirus el cual se compone de un motor (de búsqueda) y un conjunto de vacunas 
(acciones contra los virus) que se actualizan de manera automática en el servidor. 
(Ficarra, 2002) 
 La seguridad informática abarca más allá que ser un simple antivirus, cortafuegos 
o spyware, esta compuesta por todas las herramientas y políticas que se tiene para 
proteger la infraestructura, el software y la información, pero como se sabe 
primordialmente se creo para proteger la información y es acá donde se define que 
la seguridad de información es la protección de la información que esta contenida 
en una computadora o una red y contiene tres principios primordiales “Integridad, 
confidencialidad. Disponibilidad”. Y actualmente experimenta problemas externos 
hasta incidentes propios generada por los usuarios. Por eso es que definieron una 
metodología basado en las etapas de: 1) Definir la seguridad de información. 
2)Definir el riesgo (Analís, gestión del riesgo, metodología OCTAVE 3) Alinearse a 
las normas y estándares internacionales (ISO 27002). 4)Definir la situación actual 
de la organización (Garzón) 
 La seguridad informática brinda protección contra las contingencias y riesgos 
relacionados con la infraestructura informática, otra política de seguridad es el 
marco COBIT un tipo de investigación descriptivo, bajo el esquema PO9 de evaluar 
y gestionar los riesgos de TI. (Capcha, 2014) 
 Hablando de términos importantes en la seguridad informática encontramos el 
Hacking Ético y la ingeniería social. 
 El hacking ético: Dentro de un proceso de seguridad informática, el hacking ético 
es una herramienta que se usa para encontrar si un sistema informático de una 
empresa e institución posee vulnerabilidades para posteriormente poder mitigarlos 
y evitar fugas de información sensible, también es llamado test de penetración o 
también se le considera como una auditoría realizada por profesionales o 
“pentester” (iniciaron a realizar asesorías en el 2001), este ataque o intrusion no 
tienen ninguna consecuencia legal ya que se hace por voluntad de la empresa y 
estos surgieron debido a los ataques informáticos que crearon graves 
consecuencias como perdidas de dinero y reputación. (Soriano), (cubillos) 
 El termino nace del valor ético que tiene una persona o un grupo con excelentes 
conocimientos en informática y seguridad. Los servicios que prestan los 
profesionales en hacking ético sirven para analizar si una compañía esta preparada 
para soportar un ataque critico perpetrado desde afuera o desde adentro con 
conexión a la red, se analiza tanto la red interna, como internet, aplicaciones 
expuestas, los servidores, puertos y avenidas de acceso, pruebas de contraseña. 
SE siguen la metodología OSSTMM (Manual de la metodología abierta de 
comprobación de la seguridad) Y OWASP (Proyecto abierto de seguridad de 
aplicaciones web) (TORI, 2008) 
 para realizar estos ataques se debe definir primero el alcance y definir el objetivo 
genérico, lo que se está tratando proteger, contra quien se protege, cuanto tiempo, 
esfuerzo y dinero se está dispuesto a gastar para obtener protección adecuad; 
seguir una metodología básica como: Reconocimiento, Escaneo, Ataque (obtener 
acceso), ataque (mantener acceso) borrado de evidencia. 
 Las pruebas más comunes son: Redes remotas, redes locales, ingeniería social, 
seguridad física. El sistema común para hacer los ataques de penetración es el 
famoso Kali Linux el cual nos brinda barias herramientas para trabajar entre las mas 
comunes Maltego, Set Toolkit, Nmap, Armitage, Metasploit. 
Al final un hacker busca resolver interrogantes como: ¿Qué puede ver un intruso en 
los sistemas atacados? ¿Qué puede hacer un intruso con la información? ¿Hay 
Alguien en el sistema atacado que se de cuenta de los ataques o éxitos delintruso? 
(veloz, 2017) (Carvaja) 
 La ingeniería social es un “arma” certero que se aprovecha del eslabón más 
débil de cualquier sistema el cual son los usuarios y el personal de una institución 
el cual son susceptible de engaños simplemente con datos comunes o afines a ellos, 
en otras palabras, es el arte de persuadir con engaño para que sin sospechar los 
afectados compartan datos personales con un desconocido. Actualmente es muy 
usada por los creadores de malware y delincuentes informáticos, por lo general 
estos se aprovechan de noticias sobre catástrofes, gente famosa, marcas y eventos 
conocidos. De la ingeniería social se han identificados como ataques cibernéticos 
la famosa carta nigeriana, la información robada por los empleados, el phishing, 
spoofing. El fin de todo esto es recopilar información para poder robar cualquier dato 
o recoger patrones de datos comportamentales de un sector y poder así realizar los 
ataques. (Borghello, 2009) , 
 
Comprendimos que la seguridad cibernética o seguridad informática es de gran 
importancia que la seguridad urbana. Tenemos que ser personas desconfiadas a la 
hora de usar un equipo de cómputo, no debemos compartir las contraseñas. 
 
Aprendimos que los datos y la información es un activo de alto valor que será el 
objetivo principal de cualquier atacante. 
 
 
 
 
 
Bibliografía 
ALVAREZ, L. S. (2005). SEGURIDA EN INFORMATICA (AUDITORIA DE 
SISTEMAS). Mexico: UNIVERSIDAD IBEROAMERICANA. 
Bebea, I. (2015). Alfabetización digital crítica, Una invitación a reflexionar y actuar. 
Madrid: BioCoRe Coop. 
Borghello, C. (2009). El arma infalible: la Ingeniería Social. ESET para 
Latinoamerica, 1-7. 
Capcha, R. O. (2014). EVALUACIÓN DEL DESARROLLO DE POLITICAS DE 
SEGURIDAD DE INFORMACIÓN. Ciencia & desarrollo, 91-96. 
Carvaja, M. h. (s.f.). Ethical Hacking: La Importancia de una intrusión controlada. 
Universidad Mayor de San Andrés, 11-13. 
cubillos, s. c. (s.f.). WHITE HAT: HACKIN ETICO. universidad piloto de colombia. 
Ficarra, F. (2002). Antivirus y seguridad informatica. CHASQUI, 72-77. 
Garzón, M. B. (s.f.). PLAN MAESTRO DE SEGURIDAD INFORMÁTICA PARA LA 
UTIC DE LA ESPE CON LINEAMIENTOS DE LA NORMA ISO/IEC 27002. 
Ecuador: UTIC, ESPE. 
Rojas, J. R. (2008). La seguridad informatica y el usuario final. Revista digital 
Universitaria, 1-8. 
Soriano, A. G. (s.f.). Hacking ético: mitos y Realidades. SEGURIDAD CULTURA 
DE PREVENCIÓN PARA TI, 12. 
TORI, C. (2008). hacking etico. Rosario: Mastroianni Impresiones. 
veloz, j. (2017). Ethical hacking, una metodologia para descubrir fallas de 
seguridad en sistemas informaticos mediante la herramienta kali-linux. 
REVISTA DE TECNOLOGiIAS DE LA INFORMATICA Y LAS 
COMUNICACIONES, 1-12. 
J.Cano, J. (2004). Inseguridad informática: Un concepto dual en seguridad 
informática 
 [versión electrónica]. Revista de Ingeniería 19. Disponible en: 
 http://revistaing.uniandes.edu.co/index.php?ida=62&idr=3&ids=1. 
 
Suárez, I. (2011). Procedimiento para la gestión de Información de la Seguridad 
Informática. 
 Tesis de Maestría. Universidad Oscar Lucero Moya, Holguín 
 
Ingeniería Social. El Arte del Hacking Personal, Christopher Hadnagy