• Author / Uploaded
• aluz

Citation preview

Sistemas Escuela Profesional de Ingeniería Industrial

CAPÍTULO 8: Seguridad en los Sistemas de Información Contenido INTRODUCCIÓN ....................................................................................... 4 CAPITULO I ............................................................................................... 1 DEFINICIONES BASICAS ......................................................................... 1 CAPITULO II .............................................................................................. 5 VULNERABILIDAD Y ABUSO DE LOS SISTEMAS .................................. 5 2.1.

¿Por qué son vulnerables los sistemas? ...................................... 5

2.1.1

Clasificación de las vulnerabilidades2 ........................................ 7

2.1.2

Desafíos de seguridad inalámbrica. ........................................ 11

2.2.

Software malicioso: virus gusanos, caballos de troya y spyware.14

2.3.

Clasificación de las amenazas .................................................... 23

2.4.

Los hackers y los delitos computacionales. ................................ 26

2.4.1

Historia de los delitos informáticos. ......................................... 26

2.4.2

Hacktivismo ............................................................................. 27

2.4.3

Spoofing y sniffing4 .................................................................. 29

2.4.4

Ataques de negación de Servicio. ........................................... 31

2.4.5

Delitos por computadora. ........................................................ 32

2.4.6

Robo de identidad. .................................................................. 32

2.4.7

Fraude del clic ......................................................................... 33

2.5.

Amenazas internas: Los Empleados .......................................... 34

2.6.

Vulnerabilidad del software. ........................................................ 34

CAPITULO III ........................................................................................... 35 VALOR DEL NEGOCIO EN RELACION CON LA SEGURIDAD Y EL CONTROL ............................................................................................... 35 3.1. Requerimientos legales y regulatorios para la administración de registros digitales. ................................................................................. 36 3.2.

Evidencia electrónica y análisis forense de sistemas. ................ 36

CAPITULO IV........................................................................................... 38 ESTABLECIMIENTO DE UNA ESTRUCTURA PARA LA SEGURIDAD Y EL CONTROL .......................................................................................... 38 4.1

Controles de los sistemas de información9 ................................. 38

4.2

Evaluación del riesgo .................................................................. 39

4.3

Política de seguridad .................................................................. 40

4.4 Planificación de recuperación de desastres y planificación de la continuidad de negocios. ...................................................................... 41 4.5

La función de la auditoria. ........................................................... 42

CAPITULO V............................................................................................ 43 TECNOLOGÍAS Y HERRAMIENTAS PARA PROTEGER LOS RECURSOS DE INFORMACIÓN ............................................................ 43 5.1.

Administración de la identidad y la autenticación ........................... 43

5.2.

Firewalls, sistemas de detección de intrusos y software antivirus.. 46

5.2.1

Firewals15 ................................................................................ 46

5.2.1.1 ¿Por qué nos sería de utilidad? ................................................ 46 5.2.1.2 ¿De qué nos protege un firewall? ............................................. 47 5.2.2

Sistemas de detección de intrusos16 ....................................... 48

5.2.3

Software antivirus y antispyware17........................................... 49

5.2.4

Sistemas de administración unificada de amenazas ............... 50

5.3 seguridad en las redes inalámbricas18 ............................................... 51 5.3.1 Extensible authentication protocol ............................................... 51 5.3.2 Service set id. – ssid .................................................................... 51 5.3.3 Wired equivalency privacy. .......................................................... 52 5.3.5 Wpa2 ........................................................................................... 53 5.3.6 Remote authentication dial-in user service .................................. 53

5.3.7 Medía access control ................................................................... 53 5.4

Cifrado e infraestructura de clave pública ...................................... 54

5.5

Aseguramiento de la disponibilidad del sistema............................. 55

5.5.1 Control del tráfico de red: inspección profunda de paquetes (dpi)56 5.5.2 Subcontratación (outsourcing) de la seguridad.20 ........................ 57 5.6 Aspectos de seguridad para la computación en la nube y la plataforma digital móvil .............................................................................................. 57 5.6.1 Seguridad en la nube................................................................... 57 5.6.1.1 ¿Hay riesgo de robo de datos a través de servicios como dropbox, icloud o google drive? ............................................................ 57 5.6.2 Seguridad en las plataformas móviles. ........................................ 59 5.7 Aseguramiento de la calidad del software ......................................... 60 CONCLUSIONES .................................................................................... 62 BIBLIOGRAFIA ........................................................................................ 63

INTRODUCCIÓN

Hoy en día existen muchos delincuentes informáticos que tratan de ingresar a los sistemas y a los correos empresariales y personales un beneficio propio. Muchas empresas han tenido incidentes por fallos en sus modelos de seguridad, dificultando sus objetivos estratégicos y afectando su prestigio y su valor. Los clientes entregan su patrimonio para que sea protegido y les genere ingresos. Hoy en día el patrimonio se desmaterializa y se convierte en un registro, lo que hace que la ciberseguridad se vuelva muy importante. La seguridad de la información consiste en proteger su confidencialidad, integridad y disponibilidad de una amplia gama de amenazas con el fin de asegurar la continuidad del negocio. Todo el personal de la organización es un componente esencial en la protección de la información, asumiendo responsabilidades que ayudan a reducir riesgos. Se debe estar alerta a los incidentes de seguridad de la

información y mantenerse al tanto de las medidas de protección implementadas por la organización. En el presente trabajo monográfico se trata los temas de vulnerabilidades en los sistemas de información, la importancia de invertir en seguridad de la información; se da a conocer los componentes de un marco de trabajo organizacional para la seguridad y el control. Asimismo describiremos las herramientas y tecnologías más importantes para salvaguardar los recursos de la información.

CAPITULO I DEFINICIONES BASICAS

1.1 Acceso: Derechos o permisos otorgados al usuario para acceder a los sistemas de información, servicios informáticos o plataformas tecnológicas del Banco; 1.2 Administrador de plataforma tecnológica: Personal Autorizado responsable de implementar, brindar mantenimiento y soporte especializado a la plataforma tecnológica que administra. 1.3 Administrador de los sistemas de información: Personal autorizado responsable de desarrollar, implementar, brindar mantenimiento y soporte especializado a los sistemas de información que administra; 1.4 Administrador de los servicios informáticos: Personal autorizado responsable de implementar, brindar mantenimiento y soporte especializado a los servicios informáticos que administra; 1.5 Aplicación: Programa informático que lleva a cabo una función con el objeto de ayudar a un usuario a realizar una determinada actividad.

1.6 Autenticación de usuario: Proceso que permite validar la identidad de un usuario que ingresa a un sistema de información, servicio informático o plataforma tecnológica del Banco

1.7 Autorización: Proceso que otorga permisos a un usuario para ingresar a los sistemas de información, servicios informáticos o plataformas tecnológicas del Banco

1

1.8 Botnet: Conjunto de ordenadores que han sido infectados con un programa malicioso que permite al atacante controlar dichas maquinas sin tener acceso físico a ellas y sin el conocimiento del propietario. 1.9 Cadena de mensajes: Mensaje de correo electrónico en el que se pide que dicho mensaje sea reenviado a más personas. 1.10 Compresor: Programa que estructura la información utilizando técnicas especiales para reducir el espacio necesario para almacenarla.

1.11 Confidencialidad: Es un atributo de la información que se caracteriza por ser accesible sólo para las personas que se encuentran debidamente autorizadas

1.12 Contraseña temporal: Conjunto finito de caracteres alfanuméricos y caracteres especiales que se le asigna al usuario para ingresar por primera vez a un sistema de información, servicios informáticos o plataformas tecnológicas del Banco

1.13 Cortafuegos: Programa que examina las conexiones de un ordenador y en función de su configuración rechaza las que se consideran maliciosas.

1.14 Evento de seguridad de accesos: Ocurrencia identificada en un sistema

de

información,

servicio

informático

o

plataforma

tecnológica que indica una posible brecha en el cumplimiento de las políticas de seguridad de la información, fallas de la salvaguarda o una situación desconocida que puede ser relevante para la seguridad de la información.

2

1.15 Gusano: Programa malicioso, que utiliza la red de comunicación para atacar a otros ordenadores y se copia aprovechando vulnerabilidades en el sistema operativo o en las aplicaciones instaladas. 1.16 Habilitación de cuenta de usuario: Procedimiento que permite restablecer, después de un periodo de suspensión, una cuenta de usuario en los sistemas de información, servicios informáticos o plataformas tecnológicas del Banco; 1.17 Identidad de los usuarios: Información personal utilizada para la identificación plena de los usuarios en el sistema de administración de accesos e identidades; 1.18 Información: Cualquier forma de registro electrónico, óptico, magnético o en otros medios susceptible de ser procesada, distribuida y almacenada; 1.19 Incidente de seguridad de información: Evento asociado a una posible falla en la política de seguridad, una falla en los controles, o una situación previamente desconocida relevante para la seguridad, que tiene una probabilidad significativa de comprometer las operaciones del negocio y amenazar la seguridad de la información;

1.20 Integridad: Es un atributo de la información que se caracteriza por encontrarse de forma completa, exacta y válida; 1.21 Intento fallido: Registro de autenticación defectuosa ocasionado por el ingreso de credenciales incorrectas; 1.22 MCABR: Método de Control de Accesos Basado en Roles Funcionales.

3

1.23 P2P, Peer-to-Peer: Tipo de programa que actúa simultáneamente como cliente y servidor. Generalmente se utilizan para compartir ficheros. 1.24 Service Pack: Conjunto de parches agrupados para facilitar la instalación por parte del usuario. 1.25 Troyano: Programa que a primera vista realiza una función (por ejemplo visualizar una imagen), pero que además realiza otras funciones no visibles (por ejemplo instala programas maliciosos o permite acceso remoto al ordenador). 1.26 Virus: Programa malicioso, similar al gusano, pero que modifica ("infecta") un programa existente para asegurarse la transmisión de un ordenador a otro. 1.27 Vulnerabilidad: Fallo de diseño o programación en una aplicación informática que da lugar a un problema de seguridad. 1.28 Zombi: Ordenador personal que tras haber sido infectados por algún tipo de programa malicioso, pueden serutilizados por una tercera persona para ejecutar actividades ilícitas. Este uso se produce sin la autorización o el conocimiento del usuario del equipo.

4

CAPITULO II

VULNERABILIDAD Y ABUSO DE LOS SISTEMAS

Al estar abiertas al mundo las redes públicas están mucho más expuestas, cuando las redes corporativas se conectan a internet, sus sistemas de información son vulnerables al ataque de extraños. El servicio telefónico IP, al no estar encriptado, es altamente vulnerable. Asimismo el correo electrónico puede ser atacado y admitir software malicioso accesos no autorizados a los sistemas corporativos internos. Por ellos una de las prioridades más importantes en un negocio hoy en día debe ser la seguridad y el control de sus plataformas tecnológicas. 2.1. ¿Por qué son vulnerables los sistemas?  Las grandes cantidades de datos almacenados en forma electrónica, son vulnerables a mucho más tipo de amenazas que cuando existían en forma manual.  Los sistemas de información se interconectan en distintas ubicaciones a través de las redes de comunicaciones, el potencial acceso sin autorización, abuso o fraude no se limita a una sola ubicación, sino que puede ocurrir en cualquier punto de acceso a la red.  La radiación puede interrumpir una red en diversos puntos.  Ataques de negación de servicio o software malicioso que los instrusos lanzan para interrumpir la operación de los sitios web.  Personas con altos conocimientos de informática pueden ser capaces de penetrar en los sistemas corporativos almacenados en bases de datos o archivos.

5

 Si el hardware se descompone o no está configurado de manera apropiada o se daña debido al uso inapropiado o actos delictivos, los sistemas fallan  Los errores en la programación, la instalación inapropiada o los cambios no autorizados hacen que el software de la computadora falle.  Las fallas de energía, inundaciones, incendios u otros desastres naturales también pueden perturbar los sistemas computacionales.  La asociación a nivel mundial con otra compañía impone una mayor vulnerabilidad si la información valiosa reside en redes y computadoras fuera del control de la organización. Sin un resguardo solido los datos valiosos se podrían perder, destruir o hasta caer en manos equivocadas y revelar importantes secretos comerciales o información que viole la privacidad personal.1  El uso de los dispositivos móviles para la computación de negocios. La portabilidad provoca que los teléfonos celulares y los teléfonos inteligentes y las computadoras tipo tableta sean fáciles de perder o robar. Los teléfonos celulares comparten las mismas debilidades de seguridad que otros dispositivos de internet. Y son vulnerables al software malicioso y a que extraños se infiltren en ellos.

6

Figura

2.1

Desafíos

y

vulnerabilidades

de

Seguridad

Contemporáneos.

2.1.1 Clasificación de las vulnerabilidades2 Figura 2.1.1.a Clasificación de las vulnerabilidades.

Vulnerabilidades

Físicas Naturales De hardware De software De medios de almacenaje De comunicación

Tipo economico

Humanas

Tipo socio educativa Tipo institucional politica.

 Vulnerabilidad física: Se refiere al lugar en donde se encuentra almacenada la nformación, cómo los centros de cómputo. Para un atacante le puede resultar más encillo acceder a la información que se encuentra en los equipos que intentar cceder vía lógica a éstos o 7

también se puede dar el caso de que al acceder a los centros de cómputo el atacante quite el suministro de energía eléctrica, desconecte cables y robe equipos. Si este tipo de vulnerabilidad se llega a efectuar, afecta a uno de los principios básicos de la seguridad informática que es la disponibilidad.  Vulnerabilidad natural: Se refiere a todo lo relacionado con las condiciones de la naturaleza que ponen en riesgo la información. Por ejemplo, incendios, inundaciones, terremotos, huracanes, entre otros. Por ello es conveniente contar con las medidas adecuadas, como tener respaldos, fuentes de energía alterna y buenos sistemas de ventilación, para garantizar el buen funcionamiento de los equipos.  Vulnerabilidad de hardware: Hacen referencia a los posibles defectos de fábrica o la mala configuración de los equipos de cómputo de la empresa que puedan permitir un ataque o alteración de éstos. Por ejemplo; la falta de actualización de los equipos que se utilizan o la mala conservación de los equipos son factores de riesgo para las empresas.  Vulnerabilidad de software: Está relacionado con los accesos indebidos a los sistemas informáticos sin el conocimiento del usuario o del administrador de red. Por ejemplo; la mala configuración e instalación de los programas de computadora, pueden llevar a un uso abusivo de los recursos por parte de usuarios mal intencionados. Los sistemas operativos son vulnerables ya que ofrecen una interfaz para su configuración y organización en un ambiente tecnológico y se realizan alteraciones en la estructura de una computadora o de una red.

8

 Vulnerabilidad de medios de almacenaje: Son los soportes físicos o magnéticos que se utilizan para almacenar la información. Por ejemplo; los disquetes, cd-roms, cintas magnéticas, discos duros, entre otros. Por lo tanto si estos soportes no se utilizan de manera adecuada, el contenido de los mismos podrá ser vulnerable a una serie de factores que afectan la integridad, disponibilidad y confidencialidad de la información.  Vulnerabilidad de comunicación: Es el trayecto de la información, es decir, donde sea que la información viaje, ya sea vía cable, satélite, fibra óptica u ondas de radio, debe existir seguridad. El éxito en el tránsito de los datos es un aspecto crucial en la implementación de la seguridad de la información por lo tanto se debe evitar: 

Cualquier falla en la comunicación que provoque que la información



No esté disponible para los usuarios



Disponible para quien no tiene autorización.



Que la información sea alterada afectando la integridad de ésta.



Que la información sea capturada por usuarios no autorizados,



afectando su confidencialidad.

 Vulnerabilidad humana: Se refiere a los daños que las personas puedan causar a la información y al ambiente tecnológico que la soporta sea de manera intencional o no. Muchas veces los errores y accidentes que amenazan a la seguridad de la información ocurren en ambientes institucionales, la principal vulnerabilidad es la falta de capacitación y la falta de conciencia de seguridad para las actividades de rutina, los errores, omisiones, etc. También existen

9

las vulnerabilidades humanas de origen externo, como son; el vandalismo, estafas, invasiones, etc. Existen otros tipos de vulnerabilidades que también afectan a las organizaciones a nivel mundial, pero que muy difícilmente se toman en cuenta. En el siguiente cuadro se pueden apreciar los otros tipos de vulnerabilidades:

Figura 2.1.1b Otros tipos de vulnerabilidades. Se refiere a la escasez y un mal manejo Vulnerabilidad de tipo Económico

de

los

destinados

recursos

a

organizaciones

las

para

el

mejoramiento de las diversas áreas.

Se refiere a las relaciones, comportamientos, métodos y Vulnerabilidad de tipo Socio-

conductas de todas aquellas

Educativa

personas que tienen acceso a una red y lo que deseen de ésta. Se refiere a los procesos, organizaciones,

burocracia,

corrupción y autonomía que Vulnerabilidad de tipo Institucional/Política

tienen todos los países del mundo. Desgraciadamente un atacante ciertas

puede personas

someter a

a

revelar

información, realizando actos de corrupción

10

Por lo anterior mencionado se puede decir que una vulnerabilidad es el paso previo a que se efectúe una amenaza, ésta se encuentra presente en todo momento, pero se reducen los riesgos teniendo en cuenta buenas medidas de seguridad.

Es recomendable que las empresas realicen análisis de riesgos detallado de las vulnerabilidades a las que están expuestos, como las físicas, de software, humanas, entre otros, para evitar en la medida de lo posible ser puntos blancos de ataque. Es muy importante ser consciente de que por más que las empresas sean las más seguras desde el punto de vista de ataques externos, Hackers, virus, entre otros, la seguridad de la misma sería nula si no se ha previsto como combatir un incendio. Por ello se hace mucho hincapié sobre la importancia de la seguridad informática, ya que se está invirtiendo para proteger el objeto más valioso de cualquier empresa, que es la información. 2.1.2 Desafíos de seguridad inalámbrica. Las redes bluetooh y WI-FI son susceptibles a la piratería informática por parte de intrusos fisgones. Aunque el rango de las redes Wi-Fi es de sólo varios cientos de pies, se puede extender a un cuarto de milla mediante el uso de antenas externas. Intrusos externos equipados con laptops, tarjetas de red inalámbricas, antenas externas y software de piratería informática pueden infiltrarse con facilidad en las redes de área local (LAN) que utilizan el estándar 802.11. Los hackers utilizan estas herramientas para detectar redes no protegidas, monitorear el tráfico de red y, en algunos casos, obtener acceso a Internet o a redes corporativas. La tecnología de transmisión Wi-Fi se diseñó para facilitar el proceso de las estaciones de encontrarse y escucharse entre sí. Los identificadores de conjuntos de servicios (SSID) que identifican los puntos de acceso en una red Wi-Fi se transmiten varias veces y los

11

programas husmeadores de los intrusos pueden detectarlos con bastante facilidad (vea la figura 2.1.2). Figura 2.1.2 Desafíos de Seguridad de WIFI

2.1.2.1

Los identificadores de conjunto de servicios (SSID) y canales

Es necesario que configure el SSID y un canal para especificar la red inalámbrica a la que desea conectar. SSID Cada red inalámbrica tiene su propio nombre de red y se conoce técnicamente como SSID o ESSID (Identificador de conjunto de servicios ampliado). SSID tiene un valor de 32 bytes o menos, y está asignado al punto de acceso. Los dispositivos de red inalámbrica que desee asociar a la red inalámbrica deben tener el mismo punto de

12

acceso. El punto de acceso y los dispositivos de red inalámbrica envían regularmente paquetes inalámbricos (conocidos como baliza) que tienen la información SSID. Cuando su dispositivo de red inalámbrica recibe una baliza, puede identificar la red inalámbrica que esté lo suficientemente cerca para que las ondas de radiofrecuencia alcancen su dispositivo. Canales Las redes inalámbricas emplean canales. Cada canal inalámbrico tiene una frecuencia diferente. En una red inalámbrica se pueden utilizar hasta 14 canales diferentes. Sin embargo, en muchos países el número de canales disponibles está restringido. Para obtener más información, consulte Red Ethernet inalámbrica. 2.1.2.2

El wardriving22

Es la forma de buscar redes inalámbricas (Wi-Fi) empleando un vehículo en movimiento, utilizando una computadora, una PDA o algún otro dispositivo portátil para buscar redes inalámbricas. En general cuando se habla de wardriving, no se hace referencia a la conexión no autorizada al punto de acceso inalámbrico; esta acción se denomina Piggybacking. Existen múltiples aplicaciones que ayudan al wardriving como el NetStumbler (Windows), Kismet (Linux) y KisMac (Macintosh) El término wardriving encuentra su origen en otra técnica similar, pero más antigua llamada wardialing en donde se buscan computadoras conectadas a líneas telefónicas empleando la fuerza bruta (prueba distintos números telefónicos buscando aquellos conectados a una computadora) Existen algunas variantes del wardriving como por ejemplo el “warwalking” que en vez de conducir, se camina; “warbiking” en bicicleta, “Bus wardriving” empleando un colectivo, etc.

La acción de los identidad, pérdidas financieras o incluso a un registro criminal (si la red fue usada para fines criminales). hackers que utilizan esta técnica para ingresar a los datos de un computador, desde informaciones

13

bancarias a personales, puede llevar al robo de Cualquier computador o dispositivo móvil conectado a la red sin protección está vulnerable. Existen formas de prevenir el Wardriving. Primero, no dejes de verificar el manual del propietario de tu router para obtener instrucciones sobre cómo activar y configurar esos consejos correctamente:  Apaga tu red sin cables cuando salgas de casa: Esto minimizar la posibilidad que un hacker ingrese a tu red.  Cambia regularmente la contraseña de tu router: Los fabricantes generalmente atribuyen un nombre de usuario y clave padrón para que puedas instalar y configurar el router. No obstante, los hackers generalmente consiguen descubrir esos logins, por lo que es importante crear contraseñas difíciles de descifradas.  Activa la criptografía: Puedes configurar el router para permitir el acceso sólo a los usuarios que digiten la contraseña correcta. Esas contraseñas son criptografiadas, impidiendo a los hackers intenten interceptar su conexión.  Usa un firewall: Los firewalls puede reducir bastante las chances que extraños invadan tu red. Por eso, certifícate de usar el firewall que viene con el software de seguridad para ofrecer una capa extra de defensa.

2.2. Software malicioso: virus gusanos, caballos de troya y spyware. Los programas de software malicioso se conocen como malware e incluyen una variedad de amenazas, como virus de computadora, gusanos y caballos de Troya.En el siguiente cuadro 2.2.1 Virus de computadora: Es un programa de software malintencionado que se une a otros programas de software o archivos de datos para poder ejecutarse, por lo general sin el conocimiento o permiso del usuario. La mayoría de los virus de computadora entregan una “carga útil”. La cual puede ser benigna en cierto sentido, como las instrucciones para mostrar un mensaje o imagen, o puede ser muy destructiva: tal vez destruya programas o datos, obstruya la memoria de la computadora, aplique formato al disco duro o haga que los programas se ejecuten de manera inapropiada. Por lo general los virus se esparcen de una computadora a otra cuando los humanos realizan una

14

acción, como enviar un adjunto de correo electrónico o copiar un archivo infectado. 2.2.2 Gusanos Programas de computadora independientes que se copian a sí mismos de una computadora a otras computadoras a través de una red (a diferencia de los virus, pueden operar por su cuenta sin necesidad de unirse a otros archivos de programa de computadora y dependen menos del comportamiento humano para poder esparcirse de una computadora a otra. Esto explica por qué los gusanos de computadora se esparcen con mucha mayor rapidez que los virus). Los gusanos destruyen datos y programas; además pueden interrumpir o incluso detener la operación de las redes de computadoras. Los gusanos y los virus se esparcen con frecuencia a través de Internet, de archivos o software descargado, de archivos adjuntos a las transmisiones de correo electrónico, y de mensajes de correo electrónico o de mensajería instantánea comprometidos. Los virus también han invadido los sistemas de información computarizados por medio de discos “infectados” o máquinas infectadas. En la actualidad los gusanos de correo electrónico son los más problemáticos. 2.2.3 Virus y programas dirigidos a teléfonos móviles. En el siguiente cuadro se va a mostrar los virus y gusanos mas recientes , dirigidos a teléfonos móviles:

CABIR

2.2.3.1 CABIR Efectos No tiene efectos destructivos. Se limita a mostrar el mensaje Caribe en la pantalla del teléfono móvil afectado, cada vez que éste es encendido

Metodo de infección Cabir.A crea los siguientes archivos:  CARIBE.APP en los directorios SYSTEM\ APPS\ CARIBE y SYSTEM\ SYMBIANSECUREDATA\ CARIBESECURITYMANAGER .  CARIBE.RSC en los directorios SYSTEM\ APPS\ CARIBE y SYSTEM\ SYMBIANSECUREDATA\ CARIBESECURITYMANAGER .  FLO.MDL en los directorios SYSTEM\ APPS\ CARIBE y SYSTEM\ RECOGS.

Propagación Cabir.A se propaga a teléfonos móviles que utilicen el sistema operativo Symbian y empleen la tecnología Bluetooth. Para ello, realiza el siguiente proceso:  Cuando es ejecutado, Cabir.A muest ra en la pantalla del teléfono el mensaje Caribe.  Entonces, inicia la búsqueda de otros dispositivos que se encuentren conectados empleando la tecnología Bluetooth.

15



CARIBE.SIS en los directorios SYSTEM\ INSTALLS y SYSTEM\ SYMBIANSECUREDATA\ CARIBESECURITYMANAGER .





En caso de localizar alguno, enviará una copia de sí mismo únicamente al primer dispositivo que encuentre, en un archivo llamado CARIBE.SIS. Existe la posibilidad de que Cabir.A intente copiarse en dispositivos que empleen la tecnología Bluetooth, aunque no utilicen el sistema operativo indicado. En estos casos, Cabir.A no podrá continuar su propagación a partir de dicho dispositivo.

COMMWARRIOR

2.2.3.2 Commwarrior

Efectos El principal objetivo de SymbOSt/Comm Warrior.A es propagarse y afectar a otros ordenadores

Propagación Propagación mediante la explotación de vulnerabilidades remotas: SymbOSt/CommWarrior.A realiza el siguiente proceso:  Se propaga atacando direcciones IP, obtenidas aleatoriamente o de la red a la que pertenece el ordenador afectado. 

Intenta acceder a las direcciones IP atacadas aprovechando alguna vulnerabilidad existente o a través de un puerto que se encuentre abierto.



En caso de conseguirlo, descarga en el ordenador atacado una copia de sí mismo.

2.2.3.3 Frontal A Frontal.A instala un archivo corrupto que provoca fallas en los teléfonos celulares y evita que el usuario pueda reiniciar su equipo 2.2.3.4 IKEE B

16

Ikee.B convierte los dispositivos iPhone liberados en dispositivos controlados por botnets. Los virus de dispositivos móviles imponen serias amenazas a la computación empresarial, debido a que ahora hay muchos dispositivos inalámbricos vinculados a los sistemas de información corporativos. Figura 2.2.3 Virus de celulares : Skull, Cabir y CommWarrior.

17

2.2.4 Caballos de troya: Los Troyanos Informáticos o Caballos de Troya (en ingles Trojan) es una clase de virus que se caracteriza por engañar a los usuarios disfrazándose de programas o archivos legítimos/benignos (fotos, archivos de música, archivos de correo, etc. ), con el objeto de infectar y causar daño. El objetivo principal de un Troyano Informático es crear una puerta trasera (backdoor en ingles) que de acceso a una administración remota del atacante no autorizado, con el objeto de robar información confidencial y personal. El termino de Troyano viene de la historia del "Caballo de Troya" mencionada en la obra "La Odisea" de "Homero" y que es utilizada para engañar, sorprender y causar daño. Los troyanos están diseñados para que un atacante acceda a un sistema en forma remota y realizar diferentes acciones "sin pedir permiso". Las acciones que el atacante puede realizar dependen de los privilegios del usuario que esta siendo atacado y de las características del troyano. TroyanoLos troyanos están compuestos por dos archivos: un cliente que es el que envía las ordenes y un servidor que recibe las órdenes del cliente, las ejecuta y devuelve resultados. Un troyano puede estar ejecutándose en un ordenador durante meses sin que el usuario perciba nada. Esto hace muy difícil su detección y eliminación de forma manual. Algunos patrones para identificarlos son: un programa desconocido se ejecuta al iniciar el ordenador, se crean o borran archivos de forma automática, el ordenador funciona más lento de lo normal, errores en el sistema operativo. Ejemplos de troyanos:         

NetBus Back Orifice 2000 SubSeven Cybersensor DeepThroat v2 Dolly Trojan Girlfriend nCommand v1.0 NetSpher 18

Figura 2.2.4 Representación de un caballo de Troya

2.2.5 INYECCIÓN SQL Otro tipo de ataque se da por inyecciónSQL, los cuales son la mayor amenaza de malware. Inyección SQL es un método de infiltración de código intruso que se vale de una vulnerabilidad informática presente en una aplicación en el nivel de validación de las entradas para realizar operaciones sobre una base de datos. El origen de la vulnerabilidad radica en el incorrecto chequeo o filtrado de las variables utilizadas en un programa que contiene, o bien genera, código SQL. Es, de hecho, un error de una clase más general de vulnerabilidades que puede ocurrir en cualquier lenguaje de programación o script que esté embebido dentro de otro. Se conoce como Inyección SQL, indistintamente, al tipo de vulnerabilidad, al método de infiltración, al hecho de incrustar código SQL intruso y a la porción de código incrustado. Se dice que existe o se produjo una inyección SQL cuando, de alguna manera, se inserta o "inyecta" código SQL invasor dentro del código SQL programado, a fin de alterar el funcionamiento normal del programa y lograr

19

así que se ejecute la porción de código "invasor" incrustado, en la base de datos. Este tipo de intrusión normalmente es de carácter malicioso, dañino o espía, por tanto es un problema de seguridad informática, y debe ser tomado en cuenta por el programador de la aplicación para poder prevenirlo. Un programa elaborado con descuido, displicencia o con ignorancia del problema, podrá resultar ser vulnerable, y la seguridad del sistema (base de datos) podrá quedar eventualmente comprometida. La intrusión ocurre durante la ejecución del programa vulnerable, ya sea, en computadores de escritorio o bien en sitios Web, en este último caso obviamente ejecutándose en el servidor que los aloja. La vulnerabilidad se puede producir automáticamente cuando un programa "arma descuidadamente" una sentencia SQL en tiempo de ejecución, o bien durante la fase de desarrollo, cuando el programador explicita la sentencia SQL a ejecutar en forma desprotegida. En cualquier caso, siempre que el programador necesite y haga uso de parámetros a ingresar por parte del usuario, a efectos de consultar una base de datos; ya que, justamente, dentro de los parámetros es donde se puede incorporar el código SQL intruso. Al ejecutarse la consulta en la base de datos, el código SQL inyectado también se ejecutará y podría hacer un sinnúmero de cosas, como insertar registros, modificar o eliminar datos, autorizar accesos e, incluso, ejecutar otro tipo de código malicioso en el computador. Por ejemplo, asumiendo que el siguiente código reside en una aplicación web y que existe un parámetro "nombreUsuario" que contiene el nombre de usuario a consultar, una inyección SQL se podría provocar de la siguiente forma: El código SQL original y vulnerable es: consulta := "SELECT * FROM usuarios WHERE nombre = '" + nombreUsuario + "';" Si el operador escribe un nombre, por ejemplo "Alicia", nada anormal sucederá, la aplicación generaría una sentencia SQL similar a la siguiente, que es perfectamente correcta, en donde se seleccionarían todos los registros con el nombre "Alicia" en la base de datos: SELECT * FROM usuarios WHERE nombre = 'Alicia'; 20

Pero si un operador malintencionado escribe como nombre de usuario a consultar: "Alicia'; DROP TABLE usuarios; SELECT * FROM datos WHERE nombre LIKE '%" (sin las comillas externas), se generaría la siguiente consulta SQL, (el color verde es lo que pretende el programador, el azul es el dato, y el rojo, el código SQL inyectado): SELECT * FROM usuarios WHERE nombre = 'Alicia'; DROP TABLE usuarios; SELECT * FROM datos WHERE nombre LIKE '%'; En la base de datos se ejecutaría la consulta en el orden dado, se seleccionarían todos los registros con el nombre 'Alicia', se borraría la tabla 'usuarios' y finalmente se seleccionaría toda la tabla "datos", que no debería estar disponible para los usuarios web comunes. En resumen, cualquier dato de la base de datos puede quedar disponible para ser leído o modificado por un usuario malintencionado. Nótese por qué se llama "Inyección" SQL. Si se observa el código malicioso, de color rojo, se notará que está insertado en el medio del código bueno, el verde. Así, el código rojo ha sido "inyectado" dentro del verde. La inyección SQL es fácil de evitar, por parte del programador, en la mayoría de los lenguajes de programación que permiten desarrollar aplicaciones web.. 2.2.6 SPYWARE Algunos tipos de spyware también actúan como software malicioso. En el mundo de la informática a esto es lo que le llamamos software espía (spyware), estos se instalan en nuestro sistema con la finalidad de robar nuestros datos y espiar nuestros movimientos por la red. Luego envían esa información a empresas de publicidad de internet para comercializar con nuestros datos. Trabajan en modo ‘background’ (segundo plano) para que no nos percatemos de que están hasta que empiecen a aparecer los primeros síntomas.

21

Tienen cierta similitud con los Adwares en cuanto a que interactúan con el usuario a través de barras de herramientas (Toolbars), ventanas emergentes con publicidades (popups) y otro tipo de acciones y su finalidad es espiar nuestro comportamiento para mostrar publicidad y/o anuncios.

2.2.6.1 ¿Comó entran a nuestras PC’S?   

Al visitar sitios de Internet que nos descargan su código malicioso (ActiveX, JavaScripts o Cookies), sin nuestro consentimiento. Acompañando algún Virus o llamado por un Troyano. Estando ocultos en un programa gratuitos (Freeware) los cuales al aceptar sus condiciones de uso (casi siempre en ingles y que no leemos) estamos aceptando que cumplan sus funciones de espías.

2.2.6.2 ¿Qué información pueden obtener? Pueden tener acceso por ej a: Tu correo electrónico y el password, dirección IP y DNS, teléfono, país, páginas que buscas y visitas y de que temas te interesan, que tiempos estas en ellas y con que frecuencia regresas, que software tienes y cuales descargas, que compras haces por internet y datos más importantes como tu tarjeta de crédito y cuentas de banco. 2.2.6.3 Los 5 principales síntomas son:  

 



Se nos cambian sola la página de inicio, error y búsqueda del navegador. Se nos abren ventanitas pop-ups por todos lados, incluso sin estar conectados y sin tener el navegador abierto, la mayoría son de temas pornográficos. Barras de búsquedas de sitios como la de Alexa, Hotbar, etc.. que no podemos eliminar. Falsos mensajes de alerta en la barra de Windows (al lado del reloj) de supuestas infecciones que no podemos eliminar y/o secuestro del papel tapiz de nuestro escritorio. La navegación por la red se hace cada día más lenta, en varias ocasiones nunca se llega a mostrar la página web que queremos abrir.

22

2.3. Clasificación de las amenazas 2.3.1 Amenazas humanas: Estos ataques provienen de individuos que de manera intencionada o no, causan enormes pérdidas aprovechando alguna de las vulnerabilidades que los sistemas puedan presentar. A estas personas se les bautizó de la siguiente manera, derivado del perfil que presenta cada individuo y para el presente trabajo únicamente se dan a conocer las más importantes las cuales se describen en la figura 2.3. a 2.3.1 Amenazas lógicas: En este tipo de amenazas se encuentran una gran variedad de programas que, de una u otra forma, dañan los sistemas creados de manera intencionada (software malicioso conocido como malware) o simplemente por error (bugs o agujeros). 2.3.2 Amenazas físicas: Este tipo de ataque está enfocado a cubrir las amenazas ocasionadas tanto por el hombre como por la naturaleza del medio físico en el cual se encuentran ubicados los centros de cómputo de cada organización o individuo.

Figura 2.3.a de la clasificación general de las amenazas. HUMANAS

Hacker Cracker Phreakers Ingenieria social Ingenieria social inversa Trashing (cartoneo) Terroristas

23

Robo Intrusos remunerados Personal Interno Ex - empleados Curiosos LÓGICAS

Adware Backdoors Bombas Lógicas Caballos de troya Exploits Gusanos (Worms) Malware Pharming Phishing Spam Spyware o programas espía Virus Ataques de autenticación Ataques de Monitorización Uso de diccionarios Denial of Service (DoS) Ataques de Modificación - Daño

FISICOS

Incendios Inundaciones Terremotos Señales de Radar Instalaciones eléctricas

Figura 2.3.b Amenazas más peligrosas en los últimos 20 años

24

25

2.4. Los hackers y los delitos computacionales.

2.4.1

Historia de los delitos informáticos.

La habilidad y experiencia de los muchos expertos en informática, que históricamente orientaron sus conocimientos al terreno de la ilegalidad y el delito, han dado lugar a la tristemente célebre connotación negativa de los llamados hackers. Sin embargo, el tiempo permitió la irrupción de una clara distinción entre aquellos genios informáticos que emplean su talento para delinquir, actualmente denominados hackers de sombrero negro, y los que, en cambio, lo hacen para ayudar a mejorar la seguridad de los sistemas, los denominados hackers de sombrero blanco.3 Figura 2.3.1 Historia de algunos hackers

26

2.4.2

Hacktivismo

Hacktivismo es la fusión del hacking y el activismo, la política y la tecnología. Más específicamente, el hacktivismo se describe como hackear por una causa política. En este contexto, el término hacker se utiliza en referencia a su significado original. Como define en el Diccionario del Nuevo Hacker, un pirata informático es "una persona que disfruta explorando los detalles de la programación de sistemas y la forma de estirar sus capacidades " y una persona que es capaz de "superar o burlar creativamente limitaciones. " El activismo se define como" una política de tomar acción directa y militante para conseguir una meta política o social." Por lo tanto, una definición clínica de hacktivismo sería la política de hacking, phreaking o la creación de tecnología para lograr una meta política o social. Sin embargo, tanto hacking como activismo son palabras cargadas con una gran variedad de interpretaciones. Por lo tanto, es preferible que no se defina exactamente la palabra hacktivismo, sino más bien para describir el espíritu de hacktivismo. Hacktivismo es la raíz. Es el uso de su colectivo o ingenio para burlar las limitaciones individuales, para cortar soluciones inteligentes a problemas complejos utilizando el ordenador y la tecnología de Internet. "Hacktivismo es una continua evolución en la cual nadie es su dueño, no tiene profeta, no tiene evangelio." En principio el hacktivismo es una iniciativa compuesta por dos comunidades divergentes (hackers y activistas) que son necesarios para comprender los antecedentes respectivos en el análisis de la fusión histórica y examinar sus retos y posibilidades futuras. Se trata de una actitud que promueva la resolución de problemas y del instinto creativo para no limitar las opciones. La piratería prospera en un entorno en el que la información es de libre acceso. La ética del hacker formulada por Steven Levy en su libro de 1984 "Hackers:

27

Héroes de la revolución de la computadora ", describe el hacker con los siguientes principios 1. El acceso a las computadoras debe ser ilimitado y total. 2. Toda la información debe ser libre. 3. Autoridad de desconfianza - promover la descentralización. 4. Los hackers deben ser juzgados por su hacking, no por criterios falsos como títulos, edad, raza, o posición. 5. Crear arte y belleza es faena de una computadora. 6. Los ordenadores pueden cambiar tu vida para mejor. Los hackers detestan la censura. La censura es a menudo vista como una violación de los derechos humanos, especialmente cuando se combina con un régimen represivo de gobierno. Además de la desconfianza por parte de hackers acerca de la legislación restrictiva que invade el libre acceso a la información y la privacidad electrónica que se requiere. El maravilloso dispositivo destinado a enriquecer la vida ha convertido en un arma que deshumaniza a la gente. Para el gobierno y las grandes empresas, las personas no son más que espacio en disco, y el gobierno no usa computadoras para organizar la ayuda para los pobres, sino para controlar la muerte por las armas nucleares. Este sentimiento no es una estadística aislada. Definitivamente hay una tendencia dentro de la cultura hacker que no sólo se centra en aspectos técnicos de la informática, sino en los aspectos políticos. En el "Manifiesto Hacker", el del mentor explica: “Hacemos uso de un servicio ya existente sin pagar por lo que podría haber sido más barato si no estuviera en manos de glotones hambrientos de ganancias, y ustedes nos llaman criminales. Exploramos... y nos llama criminales. Buscamos ampliar nuestros conocimientos... y nos llaman criminales. No diferenciamos el color de la piel, sin nacionalidad, sin prejuicios religiosos... y ustedes nos llaman criminales. A construir bombas atómicas, hacéis la guerra, asesináis, trampas, y nos mienten y tratan de hacernos creer que es por nuestro propio bien, pero nosotros somos los criminales.”

28

Los activistas reconocieron los beneficios de la integración y el activismo informático / tecnológico de Internet con relativa rapidez. La nueva tecnología de arquitectura abierta de Internet jugó un papel complementario y beneficioso que encaja perfectamente con los activistas en las redes. De hecho, el activismo informatizado ya estaba teniendo lugar antes del nacimiento de la WWWeb. Stephan Wray señala que la creación de PeaceNet, un servicio de noticias basado en texto, en el año 1986 permitido "activistas políticos para comunicarse entre sí a través de fronteras internacionales con relativa facilidad y rapidez." Esto ha permitido a los activistas con conocimientos técnicos utilizar los beneficios de las comunicaciones digitales. Internet permite la convergencia de las reuniones, debates, y la investigación en un medio cómodo y rápido que en gran medida mejora las capacidades de los activistas no sólo organizativa, sino también la capacidad de los activistas de reaccionar ante un constante cambio de una manera oportuna, con el fin de educar al público y promover causas y campañas, organizaciones de activistas utilizándolo en Internet.

2.4.3

Spoofing y sniffing4 Un sniffer visto desde un punto de vista positivo, cumple la función de monitoreo para capturar las tramas enviadas en una red y de esa forma analizar si existe información que viaja en

la

red

en

texto

plano.

Desde un punto de vista negativo, un sniffer puede convertirse en un arma de doble filo, especialmente si es manejado por personas con propósitos de robo de información. El termino Spoofing hace referencia al uso de técnicas de suplantación de identidad generalmente con uso malicioso o de investigación. CLASIFICACION SEGUN LA TECNOLOGIA QUE UTILIZA

29

IP SPOOFING

Consiste básicamente en sustituir la dirección IP origen de un paquete TCP/IP por otra dirección IP a la cual se desea suplantar.

DNS SPOOFING

Se trata del falseamiento de una relación "Nombre de dominio-IP" ante una consulta de resolución de nombre, es decir, resolver con una dirección IP falsa un cierto nombre DNS o viceversa

ARP

SPOOFING Se trata de la construcción de tramas de solicitud y respuesta ARP modificadas con el objetivo de falsear la tabla ARP (relación IPMAC) de una víctima y forzarla a que envíe los paquetes a un host atacante en lugar de hacerlo a su destino legítimo.

WEB SPOOFING

Enruta la conexión de una víctima a través de una página falsa hacia otras páginas WEB con el objetivo de obtener información de dicha víctima (páginas web vistas, información de formularios,

contraseñas

etc.)

MAIL SPOOFING Esta técnica es usada con asiduidad para el envío de mensajes de correo electrónico hoax como suplemento perfecto para el uso de suplantación de identidad y para SPAM, es tan sencilla como el uso de un servidor SMTP configurado para tal fin. GPS SPOOFING

Un ataque de GPS spoofing intenta engañar a un receptor de GPS transmitiendo una señal ligeramente más poderosa que la recibida desde

los

satélites

del

sistema

GPS,

estructurada para parecerse a un conjunto normal de señales GPS.

30

2.4.4

Ataques de negación de Servicio.

Denial of Service (DoS): Los ataques de negación de servicio tienen como objetivo saturar los recursos de la víctima, de forma tal que se inhabilitan los servicios brindados por la misma. Ejemplos: Jamming o Flooding, Syn Flood, Connection Flood, Net Flood, Land Attack, Smurf o Broadcast storm, Supernuke o Winnuke, Teardrop I y II, Newtear-Bonk-Boink, E-mail bombing-Spamming. Figura 2.4.4 Diagrama de un ataque DDoS usando el software Stacheldraht.

31

2.4.5

Delitos por computadora.

La mayoría de las actividades de los hackers son delitos criminales; las vulnerabilidades de los sistemas que acabamos de describir los convierten en objetivos para otros tipos de delitos por computadora también Muchas compañías se niegan a informar los delitos por computadora debido a que puede haber empleados involucrados, o porque la compañía teme que al publicar su vulnerabilidad se dañará su reputación. Los tipos de delitos por computadora que provocan el mayor daño económico son los ataques DoS, la introducción de virus, el robo de servicios y la interrupción de los sistemas computacionales. Figura 2.4.4 Ejemplos de delitos por computadora

2.4.6

Robo de identidad.

El robo de identidad es un crimen en el que un impostor obtiene piezas clave de información personal, como números de identificación del seguro social, números de licencias de conducir o números de tarjetas de crédito, para hacerse pasar por alguien más. La información se puede utilizar para obtener crédito, mercancía o servicios a nombre de la víctima, o para proveer al ladrón credenciales falsas. Este tipo de crimen prosperado en Internet, en donde los archivos de tarjetas de crédito son uno de los principales objetivos de los hackers de sitios Web. Además, los sitios de 32

comercio electrónico son maravillosas fuentes de información personal sobre los clientes: nombre, dirección y número telefónico. Armados con esta información, los criminales pueden asumir nuevas identidades y establecer nuevos créditos para sus propios fines. Figura 2.4.5 Cuadro acerca de los métodos mas usados para el robo de identidad. PHISHING

GEMELOS MALVADOS

Es una forma de spoofing. Se establece sitios web falsos, se remite correo usando nombre de las empresas legítimas.

2.4.7

Redes inalámbricas que pretenden ofrecer conexiones WIFI de confianza a internet. Capturan contraseñas.

PHARMING

Redirige a los usuarios a una pagina web falsa, aun cuando el individuo escribe la dirección correcta.

Fraude del clic

El fraude de clic (algunas veces llamado fraude de pago por clic) es la práctica de inflar artificialmente las estadísticas de tráfico para defraudar a los anunciantes o sitios web que proporcionan espacios para anunciantes. En el modelo común de publicidad de pago por clic, los anunciantes pagan una cuota por cada clic en su enlace. Los estafadores del fraude de clic a menudo se aprovechan de los programas de afiliados que ofrecen algunos sitios web, como Google y Yahoo! Search Marketing. Los estafadores se inscriban en los programas de afiliados, comprometiéndose a proporcionar una mayor exposición a la publicidad en cuestión y a recibir en cambio una parte de las cuotas de pago por clic. Los autores colocan los anuncios en los sitios web creados exclusivamente para este propósito que, naturalmente, no tienen nada de tráfico real. Una vez que los anuncios están en su lugar, los hitbots o trabajadores generan grandes volúmenes de clics fraudulentos, a menudo

33

en un período de tiempo muy corto, por lo que el estafador factura al propietario del programa de afiliados. Tanto Google, como Yahoo! Search Marketing han tenido que reembolsar a los anunciantes por honorarios de pago por clic que se descubrieron haber sido el resultado de fraude de clics. 2.5. Amenazas internas: Los Empleados Las amenazas al sistema provenientes del personal del propio sistema informático, rara vez es tomado en cuenta porque se supone un ámbito de confianza muchas veces inexistente. Este tipo de ataque puede ser causado de manera intencional. : Estos ataques son accidentes por desconocimiento o inexistencia de las normas básicas de seguridad; pero también son de tipo intencional. Por ejemplo: un electricista puede ser más dañino que el más peligroso de los delincuentes informáticos, ya que un corte de energía puede causar un desastre en los datos del sistema. Asimismo otro tipo de amenaza seria los ex - empleados en algunos casos personas descontentas con la organización que aprovechan las debilidades de un sistema que conocen perfectamente, para dañarlo como venganza por algún hecho que consideran injusto. 2.6. Vulnerabilidad del software. Los errores de software representan una constante amenaza para los sistemas de información, ya que provocan pérdidas incontables en cuanto a la productividad. La complejidad y el tamaño cada vez mayores de los programas, aunados a las exigencias de una entrega oportuna en los mercados, han contribuido al incremento en las fallas o vulnerabilidades del software. Un problema importante con el software es la presencia de bugs ocultos, o defectos de código del programa. Los estudios han demostrado que es casi imposible eliminar todos los bugs de programas grandes. La principal fuente de los bugs es la complejidad del código de toma de decisiones. Un programa relativamente pequeño de varios cientos de líneas contiene decenas de decisiones que conducen a cientos, o hasta miles de rutas. Los programas importantes dentro de la mayoría de las corporaciones son por lo general mucho más grandes, y contienen decenas de miles, o incluso millones de líneas de código, cada una multiplica las opciones y rutas de los programas más pequeños. No se pueden obtener cero defectos en programas extensos. En sí, no es posible completar el proceso de prueba. Para probar por completo los programas que contienen miles de opciones y millones de rutas, se requerirían miles de años. Incluso con una prueba

34

rigurosa, no sabríamos con seguridad si una pieza de software es confiable sino hasta que el producto lo demostrara por sí mismo después de utilizarlo para realizar muchas operaciones. Las fallas en el software comercial no sólo impiden el desempeño, sino que también crean vulnerabilidades de seguridad que abren las redes a los intrusos. Para corregir las fallas en el software una vez identificadas, el distribuidor del software crea pequeñas piezas de software llamadas parches para reparar las fallas sin perturbar la operación apropiada del software. Es responsabilidad de los usuarios del software rastrear estas vulnerabilidades, probar y aplicar todos los parches. A este proceso se le conoce como administración de parches. Ya que, por lo general, la infraestructura de TI de una compañía está repleta de varias aplicaciones de negocios, instalaciones de sistemas operativos y otros servicios de sistemas, a menudo el proceso de mantener los parches en todos los dispositivos y servicios que utiliza una compañía consume mucho tiempo y es costoso. El malware se crea con tanta rapidez que las compañías tienen muy poco tiempo para responder entre el momento en que se anuncian una vulnerabilidad y un parche, y el momento en que aparece el software malicioso para explotar la vulnerabilidad.

CAPITULO III

VALOR DEL NEGOCIO EN RELACION CON LA SEGURIDAD Y EL CONTROL

La seguridad y el control inadecuados también pueden dar lugar a serios problemas de responsabilidad legal. Las empresas deben proteger no sólo sus propios activos de información, sino también los de sus clientes, empleados y socios de negocios. En caso contrario, la empresa podría verse involucrada en costosos litigios por exposición o robo de datos. Una empresa puede ser responsabilizada

35

por riesgo y daño innecesarios si no toma las medidas de protección adecuadas para prevenir la pérdida de información confidencial, la alteración de datos o la violación de la privacidad. En consecuencia, una sólida estructura de seguridad y control que proteja los activos de información del negocio puede generar un alto rendimiento de la inversión. 5

3.1. Requerimientos legales y regulatorios para la administración de registros digitales.

Las

empresas

enfrentan

nuevas

obligaciones

legales

para

la

administración de los registros electrónicos y la conservación de documentos, al igual que para la protección de la privacidad.

Administración de Registros

Electrónicos cuenta con políticas y

procedimientos y herramientas para manejar la conservación, destrucción y almacenamiento de registros electrónicos.6

 Ley y Responsabilidad de los Seguros Médicos (HIPPA): cobros por servicios médicos, transferencia de datos entre médicos y proveedores.  Ley Gramm-Leach-Biley: las instituciones financieras garanticen la seguridad y confidencialidad de los datos de sus clientes.  Ley Sarbanes-Oxley: hecha para empresas que cotizan en la bolsa. Diseñada para proteger a inversionistas. Garantiza controles internos para la creación y documentación de los estados financieros. 3.2. Evidencia electrónica y análisis forense de sistemas.

36

La evidencia digital, es una herramienta de especial cuidado, para el proceso de investigación de delitos tecnológicos; debe ser tratada por parte de especialistas que conserven todas las medidas de precaución necesarias para no contaminarla y/o alterarla, para que ésta no sea objeto de desestimación ante un proceso legal. Por consiguiente, la evidencia digital no solo está limitada a lo que se encuentra en las computadoras, también se puede extender a los dispositivos electrónicos tales como MP3, memorias flash, Ipad, teléfonos celulares, entre otros aparatos de telecomunicaciones y multimedia.7 El análisis forense en un sistema informático es una ciencia moderna que permite reconstruir lo que ha sucedido en un sistema tras un incidente de seguridad. Este análisis puede determinar quién, desde dónde, cómo, cuándo y qué acciones ha llevado a cabo un intruso en los sistemas afectados por un incidente de seguridad.8

Las fuentes de información que se utilizan para realizar un análisis forense son diversas:  Correos electrónico.  IDS / IPS.  Archivo de logs de los cortafuegos.  Archivo de logs de los sistemas.  Entrevistas con los responsables de seguridad y de los sistemas.

37

CAPITULO IV

ESTABLECIMIENTO DE UNA ESTRUCTURA PARA LA SEGURIDAD Y EL CONTROL

La protección de los recursos de información requiere una sólida política de seguridad y un conjunto de controles. ISO 17799, un conjunto internacional de estándares para seguridad y control, proporciona lineamientos útiles. Especifica mejores prácticas en seguridad y control de sistemas de información, incluyendo política de seguridad, planeación de continuidad del negocio, seguridad física, control de acceso, conformidad y creación de una función de seguridad dentro de la organización. 4.1 Controles de los sistemas de información9  Control preliminar: Este tipo de control trata de prevenir la ocurrencia de problemas durante la posterior ejecución de las actividades.  Control concurrente: Este tipo de control se realiza “en paralelo” con la ejecución de las actividades y tiene por objeto la detección temprana de posibles desviaciones, y la verificación de la correcta ejecución de las mediciones de desempeño, con miras al control de resultados.  El control de resultados: Es el más habitual, o por lo menos el que más se asocia con la idea general de la función de control. Se realiza una vez finalizada la actividad (por ejemplo, al terminar la ejecución de un proyecto) o al cabo de un determinado período de tiempo (por ejemplo, los balances o inventarios anuales).

38

4.2 Evaluación del riesgo

El riesgo es definido como la probabilidad que una amenaza pueda explotar una vulnerabilidad en particular. Conocer el riesgo a los que están sometidos los activos es imprescindible para poder gestionarlos, y por ello han surgido una multitud

de

guías

informales,

aproximaciones

metódicas

y

herramientas de soporte las cuales buscan objetivar el análisis para saber cuán seguros (o inseguros) están dichos activos y no llamarse a engaño.10 El análisis de riesgos es una aproximación metódica para determinar el riesgo siguiendo unos pasos: 1. Determinar los activos relevantes para la Organización, su interrelación y su valor, en el sentido de qué perjuicio (coste) supondría su degradación. 2. Determinar a qué amenazas están expuestos aquellos activos 3. Estimar el impacto, definido como el daño sobre el activo derivado de la materialización de la amenaza. 4. Estimar el riesgo, definido como el impacto ponderado con la tasa de ocurrencia (o expectativa de materialización) de la amenaza.

39

Figura4.1.Evaluación de riesgos

4.3 Política de seguridad

Las políticas de seguridad informática tienen por objeto establecer las medidas de índole técnica y de organización, necesarias para garantizar la seguridad de las tecnologías de información (equipos de cómputo, sistemas de información, redes (Voz y Datos)) y personas que interactúan haciendo uso de los servicios asociados a ellos y se aplican a todos los usuarios de cómputo de las empresas.11 La Política de Seguridad de la Información se desarrollará por medio de normativa de seguridad que afronte aspectos específicos. Se usarán los siguientes instrumentos:  Normas de seguridad: Uniformizan el uso de aspectos concretos del sistema. Indican el uso correcto y las responsabilidades

de

los

usuarios.

Son

de

carácter

40

obligatorio. También suelen denominarse ‘políticas de seguridad’.  Guías de seguridad: Tienen un carácter informativo y buscan ayudar a los usuarios a aplicar correctamente las medidas de seguridad proporcionando razonamientos en los casos en los que no existan procedimientos precisos. Ayudan a prevenir que se pasen por alto aspectos importantes de seguridad que pueden materializarse de varias formas.  Procedimientos operativos de seguridad (POS): Afrontan tareas concretas, indicando lo que hay que hacer, paso a paso, sin entrar en detalles de proveedores, marcas comerciales o comandos técnicos. Son útiles en tareas repetitivas.  Instrucciones técnicas (IT): Desarrollan los POS llegando al máximo nivel de detalle, indicando proveedores, marcas comerciales y comandos técnicos empleados para la realización de las tareas. 4.4 Planificación de recuperación de desastres y planificación de la continuidad de negocios.

BCP es un proceso diseñado para reducir el riesgo del negocio de la organización que surja de una interrupción no esperada de las funciones/operaciones críticas (manuales o automáticas) necesarias para la supervivencia de la misma. Esto incluye recursos humanos/materiales que soportan estas funciones/operaciones críticas y garantía de la continuidad de por lo menos el nivel mínimo de los servicios necesarios para al menos las operaciones críticas. 12 El objetivo de la Continuidad del Negocio/ Recuperación ante Desastres es permitir que un negocio continúe brindando sus

41

servicios críticos en caso de una interrupción y que pueda sobrevivir a una interrupción desastrosa de sus sistemas de información.

4.5 La función de la auditoria.

La finalidad de Auditoria Interna es la indagación y determinación sobre el estado patrimonial, financiero e investigación y prevención de errores y fraudes.13 Funciones:  Evaluar la gestión de la empresa, para emitir sugerencias orientadas a mejorar la gestión administrativa, y asegurar la vigencia de una estructura de control interno sólida y efectiva.  Verificar el debido cumplimiento de las funciones y responsabilidades asignadas a cada funcionario de la empresa.  Evaluar el logro de los objetivos y metas, fijadas en los planes y programas, trazados por la empresa.  Identificar y comunicar a las autoridades competentes, las desviaciones importantes en la ejecución de las actividades, que impiden lograr los objetivos y las metas previamente establecidas; recomendar las medidas correctivas para subsanar dichas desviaciones y cumplir la finalidad para que fue creada la empresa.  Garantizar la calidad de la información financiera, administrativa o de cualquier otro tipo, de modo que permita a todos los niveles jerárquicos, tomar decisiones acertadas sobre una base firme y segura.

42

 Establecer el grado en que la prestación de servicios ofrecidos a la colectividad, se han logrado en forma eficiente, efectiva y económica.  Verificar el cumplimiento de las disposiciones legales, reglamentarias, contractuales y normativas aplicables.  Ejercer revisión en forma preventiva a los egresos ejecutados por la empresa.  Evaluar los procesos informáticos de la empresa.

CAPITULO V

TECNOLOGÍAS

Y

HERRAMIENTAS

PARA PROTEGER

LOS

RECURSOS DE INFORMACIÓN

Las empresas cuentan con una variedad de tecnologías para proteger sus recursos de información, tales como herramientas para administrar las identidades de los usuarios, evitar el acceso no autorizado a los sistemas y datos, asegurar la disponibilidad del sistema y asegurar la calidad del software.

5.1.

Administración de la identidad y la autenticación

La administración de identidades y accesos es un conjunto de procesos, herramientas y estándares utilizados para la creación, mantenimiento, y utilización de identidades digitales por parte de personas, sistemas y servicios con el fin de lograr el cumplimiento de los siguientes objetivos en la organización14:

43

 Los usuarios tengan acceso a los sistemas y funcionalidad requerida para el desarrollo de sus funciones  Se controlen adecuadamente los accesos a información sensible y los conflictos de segregación de funciones  Se verifique que los usuarios correspondan a la persona a la que están asociados  Se tenga un entendimiento de los procesos para agregar, cambiar y eliminar accesos  Se tenga disponibilidad permanente de la información de los accesos utilizados

Fig5.1 Beneficios de la Administración de Identidades y Accesos

Los servicios de Administración de Identidades y Accesos IAM proveen un marco metodológico para gestionar eficazmente la identidad en la organización y se agrupan en cinco componentes principales:

44

Control de acceso 

Políticas y estándares



Autenticación y Autorización



Single Sign-On (SSO)/Reduced Sign-On



Definición de roles empresariales y de aplicación (Role Based Access Control)



Acceso a información sensible / Segregación de funciones

Administración de usuarios 

Aprovisionamiento de usuarios



Análisis y aprobación de acceso



Administración delegada



Autoservicio



Administración de contraseñas



Administración de Activos físicos

Servicios información de identidades 

Definición y normalización de Directorios y repositorios



Sincronización de datos

Auditoria y cumplimiento 

Revisión de accesos y eventos



Certificaciones

Servicios federados 

Autorizaciones a socios y proveedores



Administración de usuarios 45

Figura 5.2 DIRECCIONADORES DE LA IAM

5.2. Firewalls, sistemas de detección de intrusos y software antivirus 5.2.1 Firewals15 Un firewall es un sistema de seguridad que tiene como objetivo prevenir el acceso no autorizado a redes privadas; los firewalls pueden ser implementados como software o hardware. Los firewalls han pasado de ser algo super complejo, manejado por los implementadores de sistemas de seguridad, a ser utilizados por cualquier usuario con algunos conocimientos de informática, a nivel hogareño. 5.2.1.1 ¿Por qué nos sería de utilidad?

Internet refleja algunos males de nuestra sociedad, por ejemplo: robo, vandalismo, contaminación, etc. El equivalente electrónico de

46

lo que hacemos en términos de seguridad para mantener a esta gente alejada, sería el uso de firewalls. 5.2.1.2 ¿De qué nos protege un firewall? Claramente no nos protege de cualquier ataque que no pase a través de él. Se pone el ejemplo de tener una puerta blindada cuando la casa es de madera; con esto se indica que la empresa en su integridad debe seguir normas de seguridad. Alcanza con un pendrive para que pueda filtrarse información sensible. Sistemas con información secreta o altamente sensible deberían estar aislados de los componentes en la red corporativa. Tampoco nos protege contra tunneling con los protocolos de otras aplicaciones. Así que tener un firewall no es excusa para no implementar seguridad a nivel de aplicación. 5.3 FIREWALL CORPORATIVO

47

5.2.2 Sistemas de detección de intrusos16

Uno de los mecanismos de defensa más usados para reducir el riesgo de las compañías ante ataques dirigidos hacia los bienes informáticos han sido los sistemas de detección de Intrusos o IDS (Intrusion Detection Systems). Un IDS es un elemento que escucha y analiza toda la información que circula por una red de datos e identifica posibles ataques. Cuando aparece un ataque, el sistema reaccionará informando al administrador y cerrará las puertas al posible intruso reconfigurando elementos de la red como firewalls y routers. Los IDS han sido usados ampliamente a lo largo de estos últimos años por muchas compañías porque han proporcionado una capa adicional de seguridad. Sin embargo se ha encontrado que estos elementos proporcionan seguridad reactiva, es decir para que haya protección debe existir primero un ataque. Si un ataque es pequeño y efectivo el IDS reaccionará demasiado tarde y el ataque logrará su objetivo. Los IDS permiten, no solo la detección de ataques cubiertos por otros componentes de seguridad, sino la detección de intrusiones que pasan desapercibidas a otros componentes del dispositivo de seguridad. Así pues, realizan dos tareas fundamentales: la prevención y la reacción. La prevención de las actividades de intrusos se realiza a través de herramientas que escuchan el tráfico en la red o en una computadora. Estos programas identifican el ataque aplicando el reconocimiento de patrones (normas) o técnicas inteligentes. Esta labor permite informar de los intentos de ataques o de actividades sospechosas de manera inmediata. Existe la posibilidad además, de elaborar respuestas defensivas antes de la materialización del ataque. El método reactivo se garantiza utilizando programas que básicamente realizan el análisis de

48

archivos de logs en los sistemas. Se trata de detectar patrones de intrusión en las trazas de los servicios de red o en el comportamiento del sistema. También son considerados como signos de intrusión, la modificación de ficheros comunes, ficheros del sistema y otros.

5.4 Esquema general de un IDS

5.2.3

Software antivirus y antispyware17

Bajo el término pero en la práctica, antivirus se han ido colocando cada vez más y más servicios dirigidos a proteger los sistemas informáticos, un antivirus no es más que una herramienta encargada en detectar cuando un archivo, un correo, un proceso o en definitiva cualquier elemento informático del propio sistema intenta ejecutar código malicioso. Esto es importante, puesto que un antivirus puro solo localiza, y no tendría por qué tener la capacidad de contrarrestarlo, teniendo que meter ese elemento en particular marcado como potencial amenaza 49

en cuarentena (aislarlo del resto de archivos supuestamente legítimos en espera de encontrar algún tipo de medicina) o eliminarlo (lo que podría traer problemas añadidos al ser este archivo parte de un sistema más amplio). Para detectarlos, los antivirus cuentan con diferentes bibliotecas de malware (la terminología virus no engloba todo lo que un antivirus suele tachar como sospechoso), que están una y otra vez consultando para comparar con los elementos activos del sistema. Puesto que el pulso de la industria del crimen va por definición siempre por delante (primero se crea el virus, luego se localiza, y se genera una vacuna para él). Por tanto, un antivirus protege de elementos potencialmente peligrosos que estén dentro del sistema, siempre y cuando sean capaces de marcar la amenaza (bien sea mediante biblioteca, o mediante heurística).

5.2.4

Sistemas de administración unificada de amenazas

Para ayudar a las empresas a reducir costos y mejorar la capacidad de administración,los distribuidores de seguridad han combinado varias herramientas de seguridad en un solo paquete, que ofrece firewalls, redes privadas virtuales, sistemas de detección de intrusos y software de filtrado de contenido Web y antispam. Estos productos de administración de seguridad completos se conocen como sistemas de administración unificada de amenazas (UTM). Aunque en un principio estaban dirigidos a las empresas pequeñas y de tamaño mediano, hay productos UTM disponibles para redes de todos tamaños. Los principales distribuidores de UTM son Crossbeam, Fortinent y Check

50

Point; los distribuidores de redes tales como Cisco Systems y Juniper Networks proveen ciertas capacidades de UTM en su equipo.

5.3 seguridad en las redes inalámbricas18

La seguridad es el punto débil de las redes inalámbricas, pues la señal se propaga por el aire en todas las direcciones y puede ser captada a distancia de centenares de metros, utilizando una notebook con antena. Esto

hace

que las

redes

inalámbricas

sean vulnerables a

ser

interceptadas. A continuación, veremos algunos protocolos utilizados en la seguridad de redes inalámbricas. 5.3.1 Extensible authentication protocol

El Extensible Authentication Protocol o EAP es un protocolo que permite varios métodos de autenticación como EAP-MD5, EAP-TLS y otros métodos. Las modalidades de autenticación pueden ser por certificados de seguridad o por contraseñas.

5.3.2 Service set id. – ssid

Service Set ID o SSID es un código alfanumérico que identifica una red inalámbrica. Cada fabricante utiliza un mismo código para sus componentes que fabrica. Usted debe alterar este nombre y deshabilitar la opción de " broadcast SSID" al punto de acceso para aumentar la seguridad de la red. Cuando el "broadcast SSID" está habilitado, el punto de acceso periódicamente envía el SSID de la red permitiendo que otros clientes puedan conectarse a la red. En redes de acceso

51

público es deseable que se realice la propagación del SSID, para que cualquier persona pueda conectarse a la red. Como el SSID puede ser extraído del paquete transmitido a través de la técnica de "sniffing" no ofrece buena seguridad para la red. Aún así, se debe alterar el nombre para evitar que otros usen la misma red, accidentalmente.

5.3.3 Wired equivalency privacy.

Wired Equivalency Privacy o WEP. Como sugiere el nombre, este protocolo tiene la intención de suministrar el mismo nivel de privacidad de una red con cable. Es un protocolo de seguridad basado en el método de criptografía RC4 que utiliza criptografía de 64 bits o 128 bits. Ambas utilizan un vector de incialización de 24 bits. Sin embargo, la clave secreta tiene una extensión de 40 bits o de 104 bits. Todos los productos Wi-fi soportan la criptografía de 64 bits, sin embargo no todos soportan la criptografía de 128 bits. Además de la criptografía, también utiliza un procedimiento de comprobación de redundancia cíclica en el patrón CRC-32, utilizado para verificar la integridad del paquete de datos. El WEP no protege la conexión por completo sino solamente el paquete de datos. El protocolo WEP no es totalmente intocable, pues ya existen programas capaces de quebrar las claves de criptografía en el caso de que la red sea monitorizada durante un tiempo considerable.

5.3.4 Wi-fi protected Access

Wi-fi Protected Access o WPA fue elaborado para solucionar los problemas de seguridad del WEP. El WPA posee un protocolo

52

denominado TKIP (Temporal Key Integrity Protocol) con un vector de inicialización de 48 bits y una criptografía de 128 bits. Con la utilización del TKIP la llave es alterada en cada paquete y sincronizada entre el cliente y el Access point, también hace uso de autenticación del usuario por un servidor central.

5.3.5 Wpa2

Es una mejoría de WPA que utiliza el algoritmo de encriptación denominado AES (Advanced Encryption Standard).

5.3.6 Remote authentication dial-in user service

Remote Authentication Dial-In User Service o RADIUS es un patrón de encriptación de 128 bits propietaria. Sin embargo, está disponible sólo en algunos productos más costosos, debido a la adición de una capa extra de criptografía.

5.3.7 Medía access control

Medía Access Control o MAC, cada placa de red tiene su propio y único número de dirección MAC. De esta forma, es posible limitar el acceso a una red solamente a las placas cuyos números MAC estén especificados en una lista de acceso. Tiene la desventaja de exigir una mayor administración, pues necesita actualizar la lista de direcciones MAC cuando se cambia una computadora en la red o para proveer acceso a un visitante, o incluso en redes públicas. Otra desventaja se

53

debe al hecho de poder alterar vía software el número MAC de la placa de red y emular un número válido con acceso a la red.

5.4 Cifrado e infraestructura de clave pública

Muchas empresas usan el cifrado para proteger la información digital que almacenan,transfieren por medios físicos o envían a través de Internet. El cifrado es el proceso de transformar texto o datos simples en texto cifrado que no pueda leer nadie más que el emisor y el receptor deseado. Para cifrar los datos se utiliza un código numérico secreto, conocido como clave de cifrado, que transforma los datos simples en texto cifrado. El receptor debe descifrar el mensaje. Los dos métodos para cifrar el tráfico de red en Web son SSL y S-HTTP. La capa de sockets seguros (SSL) y su sucesor, seguridad de la capa de transporte (TLS), permiten que las computadoras cliente y servidor manejen las actividades de cifrado y descifrado a medida que se comunican entre sí durante una sesión Web segura. El protocolo de transferencia de hipertexto seguro (S-HTTP) es otro protocolo que se utiliza para cifrar los datos que fluyen a través de Internet, pero se limita a mensajes individuales, mientras que SSL y TLS están diseñados para establecer una conexión segura entre dos computadoras. La capacidad de generar sesiones seguras está integrada en el software navegador cliente de Internet y los servidores. El cliente y el servidor negocian qué clave y nivel de seguridad utilizar. Una vez que se establece una sesión segura entre el cliente y el servidor, todos los mensajes en esa sesión se cifran. Existen dos métodos alternativos de cifrado: cifrado de clave simétrica y cifrado de clave pública. En el cifrado de clave simétrica, el emisor y el receptor establecen una sesión segura en Internet al crear una sola clave de cifrado y enviarla al receptor, de modo que tanto el emisor como el receptor compartan la misma clave. La solidez de la clave de cifrado se mide con base en su longitud de bits. En la actualidad, una clave común es de 128 bits de longitud (una cadena de 128 dígitos binarios). El problema con todos los esquemas de cifrado simétrico es que la clave en sí se debe compartir de alguna forma entre los emisores y receptores, por lo cual queda expuesta a personas externas que tal vez puedan interceptarla y descifrarla. Una forma más segura de cifrado conocida como

54

cifrado de clave pública utiliza dos claves: una compartida (o pública) y otra por completo privada. Las claves están relacionadas en sentido matemático, de modo que los datos cifrados con una clave se puedan descifrar sólo mediante la otra clave. Para enviar y recibir mensajes, requieren el procesamiento de transacciones en línea, han usado desde hace varios años los sistemas computacionales tolerantes a fallas para asegurar una disponibilidad del 100 por ciento. En el procesamiento de transacciones en línea, la computadora procesa de inmediato las transacciones que se realizan en línea. Los cambios multitudinarios en las bases de datos, los informes y las solicitudes de información ocurren a cada instante. Los sistemas de computadora tolerantes a fallas contienen componentes redundantes de hardware, software y suministro de energía que crean un entorno en donde se provee un servicio continuo sin interrupciones. Las computadoras tolerantes a fallas utilizan rutinas especiales de software o lógica de autocomprobación integrada en sus circuitos para detectar fallas de hardware y cambiar de manera automática a un dispositivo de respaldo. Las piezas de estas computadoras se pueden quitar y reparar sin interrupciones en el sistema computacional. Hay que establecer la diferencia entre la tolerancia a fallas y la computación de alta disponibilidad. Tanto la tolerancia a fallas como la computación de alta disponibilidad tratan de minimizar el tiempo de inactividad: periodos de tiempo en los que un sistema no está en funcionamiento. Sin embargo, la computación de alta disponibilidad ayuda a las firmas a recuperarse con rapidez de un desastre en el sistema, mientras que la tolerancia a fallas promete tanto la disponibilidad continua como la eliminación del tiempo de recuperación. 5.5 Aseguramiento de la disponibilidad del sistema. A medida que las compañías dependen cada vez más de las redes digitales para obtener ingresos y operaciones, necesitan realizar ciertos pasos adicionales para asegurar que sus sistemas y aplicaciones estén siempre disponibles. Las firmas como las que están en

55

el ámbito de las industrias de servicios financieros y las aerolíneas, en donde las aplica5.5.1 Control del tráfico de red: inspección profunda de paquetes (dpi)

DPI es un método de inspeccionar y analizar datos en una red de ordenadores. Lo que hace este sistema es mirar dentro de los paquetes para buscar información sobre el tipo, los orígenes y el destino de los datos. Este tipo de monitorización puede ser usado para detectar algún tipo de software dañino antes de que llegue al ordenador destino, como también priorizar ciertos tipos de tráfico. Muchos proveedores de servicios de Internet (ISP), grandes corporaciones, compañías de seguridad y redes gubernamentales usan este tipo de inspección de paquetes para muchos motivos diferentes. Como muchos ya sabrán, las redes de ordenadores dividen los datos en pequeños trozos de información llamados paquetes. Son pequeñas partes de datos usados en Internet y en redes de todo tipo. Contienen una cabecera que especifican un destino y una dirección de vuelta, con datos útiles en su interior. Según los paquetes viajan por la red, pueden ser enrutados por muchos dispositivos diferentes, al igual que una carta puede pasar por diferentes oficinas de correos antes de llegar a su destino definitivo. Normalmente, estos dispositivos de red solo echan un vistazo a la cabecera del paquete. Sin embargo, en dispositivos usando DPI todo el paquete es examinado.19

56

5.5.2 Subcontratación (outsourcing) de la seguridad.20

Muchas compañías, en especial las pequeñas empresas, carecen de los recursos o la experiencia para proveer un entorno de computación seguro de alta disponibilidad por su cuenta. Por fortuna, pueden subcontratar muchas funciones de seguridad con proveedores de servicios de seguridad administrados (MSSP), quienes monitorean la actividad de la red y realizan pruebas de vulnerabilidad, además de detección de intrusos. SecureWorks, BT Managed Security Solutions Group y Symantec son los principales proveedores de servicios MSSP.

5.6 Aspectos de seguridad para la computación en la nube y la plataforma digital móvil

Aunque la computación en la nube y la plataforma digital móvil emergente tienen el potencial de producir beneficios poderosos, imponen nuevos desafíos para la seguridad y confiabilidad de los sistemas. Ahora describiremos algunos de estos desafíos y cómo hay que lidiar con ellos. 5.6.1 Seguridad en la nube La seguridad en internet es una de las mayores preocupaciones de los ciudadanos. Con la popularización de servicios de almacenamiento en la nube, este ámbito también se ha puesto en alerta ante posibles ataques informáticos. 5.6.1.1 ¿Hay riesgo de robo de datos a través de servicios como dropbox, icloud o google drive? Se ha alertado acerca de los riesgos a los que se enfrentan tanto usuarios particulares como corporaciones, al hacer uso de plataformas en la nube donde se alojan archivos y datos que pueden ser sustraídos y

57

difundidos por hackers si no se toman las medidas de seguridad pertinentes. Se recomienda tomar una serie de medidas básicas, que mitigarán los riesgos para la información que tengamos en la nube:  Contraseñas Las contraseñas representan la primera línea de protección en materia de seguridad. Es necesario usar contraseñas largas (al menos de 8 caracteres) y complejas, es decir, que incluyan minúsculas, mayúsculas, números y caracteres no alfanuméricos. Comprobar la seguridad del proveedor Cloud y no usar la misma contraseña para estos sistemas es otra recomendación que se ha de tener en cuenta.  Limitar y clasificar la información Una norma de sentido común consiste en separar aquellos archivos que consideramos más sensibles y no alojarlos en la nube. Realizar un sencillo ejercicio de clasificación de nuestros datos podría ahorrarnos muchos problemas en caso de un ataque o de una fuga de información.  Encriptar Si se usan sistemas Cloud, asumir que el contenido que se envía dejará de ser totalmente privado, por lo que es recomendable encriptarlo antes de enviarlo, incluyendo copias de seguridad. Apple y Google ya han anunciado que en sus respectivos servicios comenzarán a encriptar la información.  Revisar las configuraciones por defecto Es importante, a juicio de los expertos, poner atención cuando aceptamos las condiciones y no «Aceptar y olvidars0» como sucede 58

en la mayoría de las ocasiones. En el caso de la plataforma iCloud de Apple los afectados desconocían que habían aceptado que se realizasen por defecto tres copias de seguridad de sus datos de forma automática, una de las razones que permitió que los hackers accediesen a datos borrados de los dispositivos hacía meses, pero que se mantenían en la nube.  Un sistema de seguridad Es posible disminuir el riesgo de tener malware/troyanos en los dispositivos que pueden robar las credenciales de usuario si vigilamos el software antivirus y velamos porque se actualice regularmente. Utilizar un software específico acorde a nuestras necesidades

y

mantenerlo

actualizado

en

todos

nuestros

dispositivos es un requisito básico a la hora de evitar cualquier brecha de seguridad.21

5.6.2 Seguridad en las plataformas móviles. Si los dispositivos móviles están realizando muchas de las funciones de las computadoras, necesitan estar protegidos de igual forma que las computadoras de escritorio y laptops contra malware, robo, pérdida accidental, acceso sin autorización y hackers. Los dispositivos móviles que acceden a los sistemas y datos corporativos requieren protección especial. Las compañías se deben asegurar de que su política de seguridad corporativa contenga los dispositivos móviles, con detalles adicionales sobre cómo hay que dar soporte, proteger y utilizar los dispositivos móviles. Necesitarán herramientas para autorizar todos los dispositivos en uso; para mantener registros de inventario precisos de todos los

dispositivos

móviles,

usuarios

y

aplicaciones;

controlar

las

actualizaciones para las aplicaciones, y bloquear los dispositivos perdidos de manera que no puedan comprometer la seguridad. Las firmas deben 59

desarrollar lineamientos que estipulen las plataformas móviles y las aplicaciones de software aprobadas, así como el software y los procedimientos requeridos para el acceso remoto a los sistemas corporativos. Las compañías tendrán que asegurar que todos los teléfonos inteligentes estén actualizados con los parches de seguridad más reciente y con software antivirus/anti spam; además la comunicación se debe cifrar siempre que sea posible.

5.7 Aseguramiento de la calidad del software

Además de implementar una seguridad y controles efectivos, las organizaciones pueden mejorar la calidad y confiabilidad del sistema al emplear métrica de software y un proceso riguroso de prueba de software. La métrica de software consiste en las evaluaciones de los objetivos del sistema en forma de medidas cuantificadas. El uso continuo de la métrica permite al departamento de sistemas de información y a los usuarios finales medir en conjunto el desempeño del sistema, e identificar los problemas a medida que ocurren. Algunos ejemplos de métrica de software son: el número de transacciones que se pueden procesar en una unidad de tiempo específica, el tiempo de respuesta en línea, la cantidad de cheques de nómina impresos en una hora y el número de errores conocidos por cada 100 líneas de código de programa. Para que la métrica tenga éxito, debe diseñarse con cuidado, ser formal y objetiva; además hay que utilizarla de manera consistente. Un proceso de prueba oportuno, regular y exhaustivo contribuirá de manera considerable a la calidad del sistema. Muchos ven el proceso de prueba como una forma de demostrar que el trabajo que hicieron es correcto. De hecho, sabemos que todo el software de un tamaño considerable está plagado de errores, por lo que debemos realizar pruebas para descubrirlos.

60

Un buen proceso de prueba empieza antes de siquiera escribir un programa de software, mediante el uso de un recorrido: la revisión de una especificación o un documento de diseño realizada por un pequeño grupo de personas seleccionadas con sumo cuidado, con base en las habilidades necesarias para los objetivos específicos que se están evaluando. Una vez que los desarrolladores empiezan a escribir programas de software, también es posible usar recorridos de código para revisar el código del programa. Sin embargo, para probar el código es necesario ejecutarlo en la computadora. Cuando se descubren errores, se encuentra el origen de los mismos y se elimina por medio de un proceso conocido como depuración. En el capítulo 13 encontrará más información sobre las diversas etapas de prueba requeridas para poner en funcionamiento un sistema de información. Además, nuestras Trayectorias de aprendizaje contienen descripciones de las metodologías para desarrollar programas de software que también contribuyan a la calidad del software.

61

CONCLUSIONES



La clave para desarrollar con éxito un programa efectivo de seguridad de la información consiste en recordar que las políticas, estándares y procedimientos de seguridad de la información son un grupo de documentos interrelacionados. La relación de los documentos es lo que dificulta su desarrollo, aunque es muy poderosa cuando se pone en práctica. Muchas organizaciones ignoran esta interrelación en un esfuerzo por simplificar el proceso de desarrollo. Sin embargo, estas mismas relaciones son las que permite que las organizaciones exijan y cumplan con los requerimientos de seguridad.

62

BIBLIOGRAFIA 1.

Delitos informaticos. 2001.

2.

Unidos E. Capítulo 2 Amenazas y vulnerabilidades de la seguridad informática. 2009:49-83.

3.

HISTORY CHANNEL. History. http://pe.tuhistory.com/noticias/los-5hackers-mas-emblematicos-de-la-historia.

4.

Buitrago M. Tema 5 : Seguridad en Redes.

5.

Laudon JP. Sistemas De Información General. Administración de La Empresa Digital.

6.

Geovanny Guifarro. Seguridad en los Sistemas de Informacion | Geovanny Guifarro - Academia.edu. http://www.academia.edu/15111906/Seguridad_en_los_Sistemas_d e_Informacion.

7.

Jorge M, Karina S, Pablo H. ESTUDIO Y ANÁLISIS DE EVIDENCIA DIGITAL EN TELÉFONOS CELULARES CON TECNOLOGÍA GSM PARA PROCESOS JUDICIALES.

8.

Rifà H. Análisis Forense de Sistemas Informáticos.

9.

Eduardo Jorge Arnoletto. El control y los sistemas de información. http://www.eumed.net/libros-gratis/2010d/777/El control y los sistemas de informacion.htm.

10.

De Freitas V. Análisis y evaluación del riesgo de la información: caso de estudio Universidad Simón Bolívar. Enlace. 2009;6(1):4355.

11.

Celsia D, Pol S, Aceptable U, et al. Política Seguridad de la información.

12.

Central M. Continuidad del Negocio y Recuperación de Desastres. 63

56(2):1-35. 13.

Organizacional M. AUDITORIA. 2009:1-9.

14.

Jorge Mario Añez. Administración de Identidades y Accesos (Identity and Access Management - IAM). http://www.pwc.com/co/es/nuestros-servicios/consultoria/entecnologia/administracion-de-identidades-y-accesos.html.

15.

Ci GL. Firewalls y Sistemas de detección / prevención de intrusos en la red.

16.

Santos Ferreras J, Salinas R. Utilización de Sistemas de Detección de Intrusos como Elemento de Seguridad Perimetral. Vasa. 2003:307. http://scholar.google.com/scholar?hl=en&btnG=Search&q=intitle:Utili zacion+de+Sistemas+de+Deteccion+de+Intrusos+como+Elemento+ de+Seguridad+Perimetral#0\nhttp://mdcontent.metapress.com/index /A65RM03P4874243N.pdf\nhttp://www.iti.es/media/about/docs/tic/06 /20.

17.

Pablo Yglesias. Qué diferencia a un antivirus de un firewall y de un IDS. https://www.pabloyglesias.com/antivirus-firewall-e-ids/.

18.

galeom.com/hispavista. Seguridad en Redes Inalambricas. http://redesinl.galeon.com/aficiones1342927.html.

19.

ordenadores y portatiles. DPI. http://www.ordenadores-yportatiles.com/dpi.html.

20.

Ramos A-D de A y CI de S. El outsourcing en seguridad, una clara ventaja para la organización.

21.

ABC TECNOLOGIA. Las 5 claves para la seguridad en la nube. http://www.abc.es/tecnologia/consultorio/20140919/abci-clavesseguridad-nube-cloud-201409191628.html. 64

22 Desafios de Seguridad Informática: War driving http://ijcset.net/docs/Volumes/volume3issue6/ijcset2013030605.pdf 23 ¿Qué es war driving? http://www.psafe.com/es/blog/que-es-wardriving/ 24 Identificadores de un conjunto de servicios (SSID) y canales. http://support.brother.com/g/s/id/htmldoc/mfc/mfc7840w/spa/html/nug/chap ter3_2.html 25 Hacktivismo http://multiciberactivismo.blogspot.pe/2011/12/el-hacktivismo.html 26 Amenazas internas: Los Empleados. http://slideplayer.es/slide/4275963/ 27 Los caballos de Troya https://seguridadpc.net/troyanos.htm 28 Spyware https://www.infospyware.com/articulos/que-son-los-spywares/

65

66