Seguridad

Informtica
Ing. Aarn Chnez Guzmn
Consultor en seguridad informtica
ASCII S.A. de C.V. En Guadalajara Jalisco
Mxico
Product Manager Antivirus

Introduccin a la seguridad
de la informacin
Introduccin
Muchas empresas son amenazadas constantemente en sus activos
lo que pudiera representar miles o millones de dlares en prdidas.
Las vulnerabilidades en nuestros sistemas de informacin pueden
representar problemas graves, por ello es muy importante
comprender los conceptos necesarios para combatirlos y
defendernos de posibles ataques a nuestra informacin.

Ejemplo
Se public una noticia sobre un virus diseado para lanzar ataques
masivos y cmo prevenirlo para evitar consecuencias no deseadas. Se
trata de un virus de tipo gusano que se propaga con los nombres de
LoveSan, Blaster o MSBlaster el cual aprovecha un agujero en la
seguridad de Windows 2000 y Windows XP, concretamente en el
software que permite compartir archivos con otras mquinas. La finalidad
de la plaga es recolectar equipos para realizar un ataque hacker contra
un sitio de Microsoft.
Este es un claro ejemplo de cmo una vulnerabilidad de Windows es
aprovechada por Blaster. La mencionada vulnerabilidad de Windows,
denominada RPC DCOM, consiste en un desbordamiento de buffer en la
interfaz RPC, y ha sido calificada como "crtica" por la propia compaa
Microsoft. Afecta a las versiones NT 4.0, 2000, XP y Windows Server
2003.

Conceptos bsicos
En la actualidad la informacin es el
objeto de mayor valor para las
empresas.
El progreso de la informtica y de las
redes de comunicacin nos presenta un
nuevo escenario, donde los objetos del
mundo real estn representados por
bits y bytes, que ocupan lugar en otra
dimensin y poseen formas diferentes
de las originales, no dejando de tener el
mismo valor que sus objetos reales, y,
en muchos casos, llegando a tener un
valor superior.
Por esto y otros motivos, la seguridad de la informacin es un asunto tan
importante para todos, pues afecta directamente a los negocios de una
empresa ode un individuo.

La seguridad de la informacin tiene como propsito

proteger la informacin registrada, independientemente
del lugar en que se localice: impresos en papel, en los
discos duros de las computadoras o incluso en la
memoria de las personas que las conocen.

Los objetos reales o tangibles (entendiendo por stos

aquellas cosas de valor fsico como joyas, pinturas,
dinero, etc.) estn protegidos por tcnicas que los
encierran detrs de rejas o dentro de cajas fuertes, bajo la
mira de cmaras o guardias de seguridad.
Pero, Y la informacin que se encuentra dentro
servidores de archivos, qu transitan por las redes
comunicacin o que son ledas en una pantalla
computadora? Cmo hacer para protegerla, ya que
es posible usar las mismas tcnicas de proteccin
objetos reales?

de
de
de
no
de

Una de las preocupaciones

de la seguridad de la
informacin es proteger los
elementos que forman parte
de la comunicacin.
As, para empezar, es
necesario identificar los
elementos que la seguridad
de la informacin busca
proteger:
- La informacin
- Los equipos que la
soportan
- Las personas que la
utilizan

Activos.
Saba usted que el 94% de las empresas que pierden sus datos
Desaparece?
Un activo es todo aquel elemento que compone el
proceso de la comunicacin, partiendo desde la
informacin, su emisor, el medio por el cual se transmite,
hasta su receptor.
Son tres elementos que conforman lo que denominamos activos:
La informacin,
Los Equipos que la soportan y,
Las personas que los utilizan.

Informacin:
En este grupo estn los elementos que contienen informacin registrada, en
medio electrnico o fsico, dentro de los ms importantes tenemos:
Cualquier tipo de informacin, sin importar en qu tipo de medio se tenga
almacenada, que sea de importancia para la empresa y sus negocios.
Ejemplos:
informes
libros
manuales
correspondencias
patentes
informacin de mercado
cdigo de programacin
lneas de comando
archivos de configuracin
planillas de sueldos de empleados
plan de negocios de una empresa, etc.

Equipos que la soportan:

1. Software
Este grupo de activos contiene todos los programas de computadora que se
utilizan para la automatizacin de procesos, es decir, acceso, lectura, trnsito
y almacenamiento de la informacin. Entre ellos citamos:
las aplicaciones comerciales
programas institucionales
sistemas operativos
otros
La seguridad de la informacin busca evaluar la forma en que se crean las
aplicaciones, cmo estn colocadas a disposicin y la forma como son
utilizadas por los usuarios y por otros sistemas, para detectar y corregir
problemas existentes en la comunicacin entre ellos.

2. Hardware:
Estos activos representan toda la infraestructura tecnolgica que brinda
soporte a la informacin durante su uso, trnsito y almacenamiento.
Los activos que pertenecen a este grupo son:
Cualquier equipo en el cual se almacene, procese o transmita la
informacin de la empresa.
Ejemplos:
las computadoras
los servidores
los equipos porttiles
los mainframes
los medios de almacenamiento
los equipos de conectividad, enrutadores, switchs
y cualquier otro elemento de una red de
computadoras por donde
transita la informacin.

3. Organizacin:
En este grupo se incluyen los aspectos que componen la estructura fsica y
organizativa de las empresas.
Se refiere a la organizacin lgica y fsica que tiene el personal dentro de la
empresa en cuestin.
Como ejemplos de estructura organizativa, tenemos entre otros:
la estructura departamental y funcional
el cuadro de asignacin de funcionarios
la distribucin de funciones y los flujos de informacin de la empresa
En lo que se refiere al ambiente fsico, se consideran entre otros:
salas y armarios donde estn localizados los documentos
Fototeca
sala de servidores de archivos.

Las personas que la utilizan

El grupo usuarios se refiere a los individuos que utilizan la estructura
tecnolgica y de comunicacin de la empresa y que manejan la informacin.
El enfoque de la seguridad en los usuarios, est orientado hacia la toma de
conciencia de formacin del hbito de la seguridad para la toma de decisiones y
accin por parte de todos los empleados de una empresa, desde su alta
direccin hasta los usuarios finales de la informacin, incluyendo los grupos
que mantienen en funcionamiento la estructura tecnolgica, como los tcnicos,
operadores y administradores de ambientes tecnolgicos.
Ejemplos:
Empleados del rea de contabilidad.
Directivos de la empresa.

Proteccin de los activos

Una vez que conocemos los diferentes tipos de activos que podemos encontrar
en las empresas, ahora profundizaremos en los principios bsicos que nos
ayudarn a proteger el activo de ms valor en los negocios modernos: la
informacin
Proteger los activos significa mantenerlos seguros contra amenazas que
puedan afectar su funcionalidad:
Corrompindola, accedindola indebidamente, o incluso eliminndola o
hurtndola.
Por lo tanto, entendemos que la seguridad de
la informacin tiene en vista proteger a estos
activos de una empresa o individuo, con base
en la preservacin de tres principios bsicos:
integridad
confidencialidad y, disponibilidad de la
informacin.

Amenazas y puntos dbiles

Amenazas
Las amenazas son agentes capaces de explotar los fallos
de seguridad, que denominamos puntos dbiles y, como
consecuencia de ello, causar prdidas o daos a los
activos de una empresa, afectando a sus negocios.
Los activos estn constantemente sometidos a amenazas que pueden colocar
en riesgo la integridad, confidencialidad y disponibilidad de la informacin.
Estas amenazas siempre existirn y estn relacionadas a causas que
representan riesgos, las cuales pueden ser:
causas naturales o no naturales
causas internas o externas
Por lo tanto, entendemos que uno de los objetivos de la seguridad de la
informacin es impedir que las amenazas exploten puntos dbiles y afecten
alguno de los principios bsicos de la seguridad de la informacin (integridad,
disponibilidad, confidencialidad), causando daos al negocio de las empresas.

Tipos de amenazas
Las amenazas son constantes y pueden ocurrir en cualquier momento. Esta
relacin de
frecuencia-tiempo, se basa en el concepto de riesgo, lo cual representa la
probabilidad de que una amenaza se concrete por medio de una vulnerabilidad o
punto dbil. Las mismas se podrn dividir en tres grandes grupos.
1. Amenazas naturales condiciones de la naturaleza y la intemperie que podrn
causar daos a los activos, tales como fuego, inundacin, terremotos,
2. Intencionales son amenazas deliberadas, fraudes, vandalismo, sabotajes,
espionaje, invasiones y ataques, robos y hurtos de informacin, entre otras.
3. Involuntarias - son amenazas resultantes de acciones inconscientes de
usuarios, por virus electrnicos, muchas veces causadas por la falta de
conocimiento en el uso de los activos, tales como errores y accidentes.

EJEMPLO:
Entre las principales amenazas, la ocurrencia de virus, la divulgacin de
contraseas y la accin de hackers estn entre los ms frecuentes.

La 6 Encuesta Nacional sobre

Seguridad de la Informacin
realizada por Modulo Security
Solutions S.A. en Brasil en el ao
2000, se revelan los elementos
que representan las
principales amenazas a la
informacin de las empresas
brasileas.

Puntos dbiles

Los puntos dbiles son los elementos

que, al ser explotados por amenazas,
afectan la confidencialidad,
disponibilidad e integridad de la
informacin de un individuo o empresa.
Uno de los primeros pasos para la
implementacin de la seguridad es
rastrear y eliminar los puntos dbiles de
un ambiente de tecnologa de la
informacin. Al ser identificados los
puntos dbiles, ser posible
dimensionar los riesgos a los cuales el
ambiente est expuesto y definir las
medidas de seguridad apropiadas para
su correccin.

Riesgos, medidas y ciclo de seguridad

Riesgos
El riesgo es la probabilidad de que las amenazas exploten los puntos dbiles,
causando prdidas o daos a los activos e impactos al negocio, es decir,
afectando: La confidencialidad, la integridad y la disponibilidad de la
informacin.

Concluimos que la seguridad es una prctica orientada hacia la eliminacin de

las vulnerabilidades para evitar o reducir la posibilidad que las potenciales
amenazas se concreten en el ambiente que se quiere proteger. El principal
objetivo es garantizar el xito de la comunicacin segura, con informacin
disponible, ntegra y confidencial, a travs de medidas de seguridad que
puedan tornar factible el negocio de un individuo o empresa con el menor
riesgo posible.

Medidas de seguridad
Ya que existe una variedad de clases de puntos dbiles que afectan la
disponibilidad, confidencialidad e integridad de la informacin, debern existir
medidas de seguridad especficas para el tratamiento de cada caso.
A partir de este conocimiento, se toman las medidas o acciones de seguridad
que pueden ser de ndole:
Preventivo: buscando evitar el surgimiento de nuevos puntos dbiles y
amenazas;
Perceptivo: orientado hacia la revelacin de actos que pongan en riesgo la
informacin o
Correctivo: orientado hacia la correccin de los problemas de seguridad
conforme su ocurrencia.

Medidas globales de seguridad

Las medidas de seguridad son un conjunto de prcticas que, al ser integradas,
constituyen una solucin global y eficaz de la seguridad de la informacin.
Entre las principales medidas se destacan:
Anlisis de riesgos
Poltica de seguridad
Especificacin de seguridad
Administracin de seguridad

Ciclo de seguridad

El ciclo de seguridad se inicia con la identificacin de las amenazas a las

cuales estn sometidas las empresas.
La identificacin de las amenazas permitir la visualizacin de los puntos
dbiles que se podrn explotar, exponiendo los activos a riesgos de seguridad.
Esta exposicin lleva a la prdida de uno o ms principios bsicos de la
seguridad de la informacin, causando impactos en el negocio de la empresa,
aumentando an ms los riesgos a que estn expuestas las informaciones.
Para que el impacto de estas amenazas al negocio se pueda reducir, se toman
medidas de seguridad para impedir la ocurrencia de puntos dbiles.

Concluimos la definicin de seguridad de la

informacin desde la ilustracin del
ciclo:

Descanso 10 minutos

Concepto de anlisis de riesgos

Introduccin
Cada da va en aumento la cantidad de casos de incidentes relacionados con la
seguridad de los sistemas de informacin que comprometen los activos de las
empresas.
Lo que antes era ficcin,en la
actualidad
se
convierte,
en
muchos casos, en realidad. Las
amenazas siempre han existido, la
diferencia es que ahora, el
enemigo es ms rpido, ms difcil
de detectar y mucho ms atrevido.
Es por esto, que toda organizacin
debe estar en alerta y saber
implementar
sistemas
de
seguridad basados en un anlisis
de riesgos para evitar o minimizar
las consecuencias no deseadas.

Qu es el anlisis de riesgos
Es un paso importante para implementar la seguridad de la
informacin. Como su propio nombre lo indica, es realizado para
detectar los riesgos a los cuales estn sometidos los activos de
una organizacin, es decir, para saber cul es la probabilidad de
que las amenazas se concreten.

Las amenazas se pueden convertir en realidad a travs de fallas de seguridad,

que conocemos como vulnerabilidades y que deben ser eliminadas al mximo
para que el ambiente que se desea proteger est libre de riesgos de incidentes
de seguridad.
Por lo tanto, la relacin entre amenaza-incidente-impacto, es la condicin
principal a tomar en cuenta en el momento de priorizar acciones de seguridad
para la correccin de los activos que se desean proteger y deben ser siempre
considerados cuando se realiza un anlisis de riesgos.

Otro punto importante a considerar en la realizacin del anlisis de riesgos es

la relacin costo-beneficio. Este clculo permite que sean evaluadas las
medidas de seguridad con relacin a su aplicabilidad y el beneficio que se
agregar al negocio. As, esta visin orienta la implementacin de las medidas
de seguridad slo en las situaciones en que la relacin costo-beneficio se
justifique.

Momento y mbitos del anlisis de riesgos

Momento de anlisis de riesgos
El anlisis de riesgos puede ocurrir antes o despus de la definicin de una
poltica de seguridad. Segn la norma internacional BS/ISO/IEC 17799, esta
actividad puede ser hecha despus de la definicin de la poltica.
El propsito de tomar en cuenta una poltica de seguridad en el anlisis se debe
a varias razones:
La poltica de seguridad delimita el alcance del anlisis.
Permite ser selectivo en la verificacin de activos que la poltica establece
como vulnerables.
El anlisis toma en cuenta la lista de amenazas potenciales que la misma
poltica contempla.
Sin embargo, la realizacin del anlisis de riesgos como primer elemento de la
accin de seguridad, es un hecho determinante para procesos crticos en que
son analizadas todas las amenazas. De esta manera son considerados y
analizados todos los activos de la organizacin, sea por muestreo o en su
totalidad, para que estn libres de vulnerabilidades con el propsito de reducir
los riesgos.

mbitos del anlisis de riesgos

Relevancia de los procesos de negocio

y sus activos en el anlisis de la
seguridad
Al hacer un anlisis de riesgos, es importante identificar la relevancia que
tienen los procesos de la empresa en la organizacin, para as poder priorizar
las acciones de seguridad, es decir, iniciar el trabajo de implementacin de
seguridad en las reas ms estratgicas que puedan traer un impacto mayor a
la organizacin cuando se presente algn incidente.
La relevancia de cada uno de los procesos de negocio en la
empresa, es un punto clave a considerar durante la realizacin del
anlisis de riesgos. Dicha relevancia ser de gran importancia para
identificar el rumbo de las acciones de seguridad a implantar en la
organizacin.

La identificacin de la
relevancia de los procesos de
negocio en la organizacin, es
determinante para que las
acciones de seguridad sean
dirigidas a las reas ms
crticas, o de mayor prioridad.
Este trabajo permite dar
prioridad a las acciones que
son ms urgentes, al dirigir
tambin los costos y optimizar
los recursos donde realmente
sean necesarios.

Definicin del equipo involucrado y

entrevistas a los usuarios.
Definicin del equipo involucrado
La definicin del equipo humano es muy
Importante, tanto para dimensionar la fuerza
de trabajo necesaria para la realizacin del
anlisis de riesgos (analistas de seguridad),
como para aquellos que se encargaran de
entrevistar a las personas involucradas en
procesos de negocio (entrevistadores) que
proveern de informacin vital para el
proyecto de anlisis de riesgos; y adems,
sern los responsables por el acceso a los
activos para la recoleccin de informacin.

Entrevista a los usuarios

Las entrevistas a los usuarios pueden servir como gua
de los anlisis tcnicos, puesto que rastrean a los
involucrados con la administracin de los activos que
sern analizados y considerados con relacin a las
vulnerabilidades que puedan desencadenar amenazas al
proceso de negocio. Tambin en dichas entrevistas
pueden ser detectados nuevos elementos humanos o
tecnolgicos que hacen parte del proceso de negocio y
que tambin necesitan ser analizados.

La entrevista a usuarios de los procesos de negocio permite:

Obtener detalles sobre cmo son gestionados, implementados y utilizados.
Hacer un mapeo de la criticidad de estos procesos frente a las circunstancias
organizacionales a que est sometido,
Definir el nivel de capacitacin necesaria del equipo involucrado en su
sustentacin
Conocer la forma con que se da el flujo de informacin dentro del proceso,
Conocer la forma de uso y tratamiento de sus productos derivados,
entre otras cosas

Anlisis tcnico de seguridad

El anlisis tcnico de seguridad es una de las etapas ms importantes del
anlisis de riesgos. A travs de ste se hacen las colectas de informacin sobre
la forma en que los activos:
fueron configurados,
estructurados en la red de comunicacin, y
la forma en que son administrados por sus responsables.
El anlisis tcnico es la forma en que se obtiene la informacin especfica de
como son gestionados en general los activos de la empresa. De esta forma, es
posible identificar, en las entrelneas de las configuraciones, la forma en que
son utilizados y manipulados, buscando identificar vulnerabilidades de
seguridad.
En el proceso de anlisis tcnico de seguridad, diversos tipos de activos son
considerados, segn sea el mbito definido al inicio del proyecto, con el
propsito de monitorear las vulnerabilidades presentes a travs de errores de
configuracin o desconocimiento de las posibilidades de ataque por amenazas
potenciales. Dentro de los activos tecnolgicos analizados tcnicamente,
podemos listar los siguientes:

Anlisis de seguridad fsica

Nuestro entorno debe estar organizado de tal forma que garantice la
continuidad y el buen desempeo de las actividades individuales como la
manutencin debida de los activos.

Preocupaciones como el exceso de humedad o calor, la

disposicin de los cables de datos y elctricos, la existencia de
fallas en la organizacin del entorno, pueden exigir la
reestructuracin del espacio fsico para permitir un rea de
trabajo que sea segura, y por lo tanto, la informacin de la
organizacin se encuentre tambin segura.

Anlisis de seguridad fsica

El anlisis de seguridad fsica se inicia con la visita tcnica en los entornos en
donde se realizan actividades relacionadas directa o indirectamente con los
procesos de negocio que estn siendo analizados, a los cuales se deben atribuir
soluciones de seguridad. Estos ambientes deben ser observados con relacin a
lo siguiente:

Disposicin organizativa
Se considera la disposicin organizativa en especial sobre:
la organizacin del espacio con relacin a cmo estn acomodados los
muebles y los activos de informacin.
que las reas de circulacin de personas en lugares de alto transito estn
libres de activos valor o importancia.
que los activos de alta importancia se ubiquen en reas libres de acceso de
personas que no estn autorizadas para operarlos.

Sistemas de combate a incendio

Se considera la disposicin de los mecanismos de combate a incendio,
cuidando que estn en los lugares adecuados:
los detectores de humo,
los aspersores de agua,
los extintores de incendio,
entre otras cosas.
Control de acceso
Se ocupa de la disposicin de sistemas de deteccin y autorizacin de acceso
a las de personas, para esto se hace uso de:
cmaras de video,
hombres de seguridad,
trinquete para acceso,
mecanismos de reconocimiento individual,
entre otros.

Exposicin a clima y medio ambiente

Disposicin de las ventanas y puertas de reas crticas.
Se preocupa que se encuentren ubicadas prximas a activos
crticos,
Si los activos crticos reciben luz solar o posibilidad de amenaza causadas por
los fenmenos de la naturaleza, como viento o lluvias
fuertes.
Topografa
Se interesa en la localizacin del centro de procesamiento de datos, de la sala
de cmputo o del sitio de servidores, o cualquier rea crtica con relacin a la
topografa del terreno si se encuentran en el subsuelo, al alcance de
inundaciones, prximas a reas de riesgo como proximidad al mar, ros o
arroyos o reas de retencin de agua o con posibilidad de prdidas de caeras
hidrulicas.

Relevancia de los activos para el

anlisis de riesgos
En el anlisis de riesgo se sugiere la valoracin de la relevancia del proceso de
negocio. Esta valoracin permite tener una idea del impacto que un incidente de
seguridad puede causar al proceso de negocio, al llevar en consideracin el
valor estratgico que posee para la organizacin como un todo.
Cuanto mayor relevancia tenga un proceso para el negocio,
mayor es la importancia crtica de los activos que hacen parte
de ste y, como consecuencia, mayor ser el riesgo a que
est expuesta la organizacin en el caso de que ocurra un
incidente de seguridad en dicho proceso. La consideracin
de la relevancia tambin permite que sean dirigidas acciones
de correccin de problemas en los activos de mayor prioridad
en el momento del anlisis, pues son parte de procesos de
negocio de alta relevancia.

Los resultados del anlisis

de riesgos
Una vez que se realiza el anlisis de riesgos, la organizacin tiene en sus
manos una poderosa herramienta para el tratamiento de sus vulnerabilidades y
un diagnstico general sobre el estado de la seguridad de su entorno como un
todo. A partir de este momento es posible establecer polticas para la
correccin de los problemas ya detectados, y la gestin de seguridad de ellos
a lo largo del tiempo, para garantizar que las vulnerabilidades encontradas
anteriormente no sean ms sustentadas o mantenidas, gestionando de esa
manera la posibilidad de nuevas vulnerabilidades que puedan surgir a lo largo
del tiempo.
Cuando se sabe que las innovaciones tecnolgicas son cada vez ms
frecuentes, aparecen una serie de nuevas oportunidades para que individuos
maliciosos se aprovechen de ellas y realicen acciones indebidas en los
entornos humanos, tecnolgicos, fsicos y de procesos.
Una vez que se tienen las recomendaciones, se inician las acciones de
distribucin de ellas para corregir el entorno y reducir los riesgos a que est
sometida la infraestructura humana, tecnolgica, de procesos y fsica que
respalda a uno o ms procesos de negocio de una organizacin. De esa
manera es posible implementar en los activos analizados, y tambin en los
activos de mismas caractersticas que los
analizados, las medidas de correccin y tratamiento de las vulnerabilidades.

El anlisis de riesgos tiene como resultado los informes de

recomendaciones de seguridad, para que la organizacin
pueda evaluar los riesgos a que est sometida y conocer
cules son los activos de los procesos de negocio que estn
ms susceptibles a la accin de amenazas a la
confidencialidad, integridad y disponibilidad de la informacin
utilizada para alcanzar los objetivos intermedios o finales de la
organizacin.
Una vez que los resultados son rastreados y puntuados con relacin a su valor
crtico y relevancia, uno de los productos finales del anlisis de riesgos, la
matriz de valor crtico, indica a travs de datos cualitativos y cuantitativos la
situacin de seguridad en que se encuentran los activos analizados, al listar las
vulnerabilidades, amenazas potenciales y respectivas recomendaciones de
seguridad para correccin de las vulnerabilidades.

La poltica de seguridad
Una poltica de seguridad es un conjunto de directrices,
normas, procedimientos e instrucciones que gua las
actuaciones de trabajo y define los criterios de seguridad para
que sean adoptados a nivel local o institucional, con el objetivo
de establecer, estandardizar y normalizar la seguridad tanto en
el mbito humano como en el tecnolgico. A partir de sus
principios, es posible hacer de la seguridad de la informacin
un esfuerzo comn, en tanto que todos puedan contar con un
arsenal informativo documentado y normalizado, dedicado a la
estandardizacin del mtodo de operacin de cada uno de los
individuos involucrados en la gestin de la seguridad de la
informacin.

Elaboracin de la poltica
Para elaborar una poltica de seguridad de la informacin, es importante tomar
en cuenta las exigencias bsicas y las etapas necesarias para su produccin
a) Exigencias de la poltica
b) Etapas de produccin

Exigencias de la poltica
La poltica es elaborada tomando como base la cultura de la organizacin y el
conocimiento especializado de seguridad de los profesionales involucrados
con su aplicacin y comprometimiento. Es importante considerar que para la
elaboracin de una poltica de seguridad institucional se debe:
Integrar el Comit de Seguridad responsable de definir la poltica.
Elaborar el documento final.
Hacer oficial la poltica una vez que se tenga definida.

Etapas de produccin de la poltica

Elaborar una poltica es un proceso que exige tiempo e informacin. Es
necesario conocer cmo se estructura la organizacin y cmo son dirigidos en
la actualidad sus procesos. A partir de este reconocimiento, se evala el nivel
de seguridad existente para poder despus detectar los puntos a analizar para
que est en conformidad con los estndares de seguridad. El trabajo de
produccin se compone por distintas etapas, entre otras:
Objetivos y mbito
Entrevista
Investigacin y anlisis de documentos
Reunin de poltica
Glosario de la poltica
Responsabilidades y penalidades

Implantacin de la poltica de
seguridad
Una poltica se encuentra bien implantada cuando:

Refleja los objetivos del negocio, es decir, est siempre de acuerdo con la
operacin necesaria para alcanzar las metas establecidas.
Agrega seguridad a los procesos de negocio y garantiza una gestin
inteligente de los riesgos.
Est de acuerdo con la cultura organizacional y est sustentada por el
compromiso y por el apoyo de la administracin.
Permite un buen entendimiento de las exigencias de seguridad y una
evaluacin y gestin de los riesgos a los que est sometida la organizacin.

La implantacin de la poltica de seguridad depende de:

Una buena estrategia de divulgacin entre los usuarios.
Una libre disposicin de su contenido a todos los involucrados para
aumentar el nivel de seguridad y compromiso de cada uno.
Campaas, entrenamientos, charlas de divulgacin, sistemas de aprendizaje.
Otros mecanismos adoptados para hacer de la seguridad un elemento comn
a todos.

Seguridad Lgica
La seguridad lgica consiste en la aplicacin de barreras y procedimientos
que resguarden el acceso a los datos y slo se permita acceder a ellos a las
personas autorizadas para hacerlo
Los objetivos que sea platean sern:
1. Restringir el acceso a los programas y archivos.
2. Asegurar que los operadores puedan trabajar sin una supervisin
minuciosa y no puedan modificar los programas ni los archivos que no
correspondan.
3. Asegurar que estn utilizados los datos, archivos y programas correctos en
y por el procedimiento correcto.
4. Que la informacin transmitida sea recibida slo por el destinatario al cual
ha sido enviada y no a otro.
5. Que la informacin recibida sea la misa que ha sido transmitida.
6. Que existan sistemas alternativos de emergencia para la transmisin de
informacin.

Control de acceso
Estos controles pueden implementarse en el sistema operativo, sobre los
sistemas de aplicacin, en bases de datos, en un paquete especifico de
seguridad o en cualquier otro utilitario.
Asimismo, es conveniente tener en cuanta otras consideraciones referidas a la
seguridad lgica, como por ejemplo las relacionadas al procedimiento que
se lleva a cabo para determinar si corresponde un permiso de acceso. A un
determinado recurso.

IDENTIFICACIN Y
AUTENTIFICACIN
Es la primera lnea de defensa para la mayora de los sistemas
computarizados, permitiendo prevenir el ingreso de personas no
autorizadas. Es la base para la mayor parte de los controles de acceso y
para el seguimiento de las actividades de los usuarios.
Se denomina identificacin al momento en que el usuario se da a conocer en el
sistema; y autentificacin a la verificacin que realiza el sistema sobre esta
identificacin.
Existen 4 tipos de tcnicas que permiten realizar la autentificacin de la
identidad del usuario, las cuales pueden ser utilizadas individualmente o
combinadas:
1. Algo que solamente el individuo conoce (password, pin, llave, etc.)
2. Algo que la persona posee (tarjeta magntica)
3. Algo que el individuo es y lo identifica unvocamente (huella, voz, etc.)
4. Algo que el individuo es capaz de hacer (patrones de escritura)

Roles
El acceso a la informacin tambien puede controlarse a travs de la funcin o
rol del usuario que requiere dicho acceso. (administrador, usuario, invitado,
etc.)

Transacciones
Tambin pueden implementarse controles a travs de las transacciones
(solicitar una clave al requerir el procesamiento de una transaccin
determinada.)

Limitaciones de servicios
Estos controles se refieren a las restricciones que dependen de parmetros
propios de la utilizacin de la aplicacin o preestablecidos por el
administrador del sistema (utilizacin simultanea de un determinado
producto de software para 5 personas, y no permita uno ms.

Modalidad de acceso
Se refiere al modo de acceso que se permite al usuario sobre los recursos y a
la informacin. Esta modalidad puede ser:
Lectura, escritura, ejecucin, borrado, y todas las anteriores.
Y otras modalidades de acceso especiales, que generalmente se incluyen en
los sistemas de aplicacin.
Creacin y bsqueda.

Ubicacin y Horario
El acceso a determinados recursos del sistema puede estar basado en la
ubicacin fsica o lgica de los datos o personas. En cuanto horarios, este
tipo de controles perite limitar el acceso de los usuarios a determinadas
horas del da o a determinados das de la semana. De esta forma se
mantiene un control mas restringido de los ususarios y zonas de ingreso.

Control de Acceso interno

Palabras claves (passwords)
Generalmente se utilizan para realizar la autenticacin del usuario y sirven
para proteger los datos y aplicaciones.
Sincronizacin de passwords
Consiste en permitir que un usuario acceda con el mismo password a
diferentes sistemas interrelacionados y, su actualizacin automatica en
todos ellos en caso de ser modificada.
Caducidad y control
Este mecanismo controla cuando pueden y/o deben cambiar sus passwords
los ususarios. Se define el perodo mnimo que debe pasar para que los
usuarios puedan cambiar sus passwords, y un perodo mximo que puede
transcurrir para que estas caduquen.

Encriptacin
La informacin encriptada solamente puede ser desencriptada por quienes
posean la clave apropiada. La encriptacin puede proveer de una potente
medida de control de acceso.

Listas de control de accesos

Se refiere a un registro deonde se encuentran los nombres de los usuarios qu

obtuvieron un permiso de acceso a un determinado recurso del sistema, as
como la modalidad de acceso permitido.

Limites sobre la interfaz del usuario

Estos lmites, generalmente, son utilizados en conjunto con las listas de
control de accesos y restringen a los usuarios a funciones especificas.
(mens, vistas, limites fisicos etc.)

Etiquetas de seguridad
Consiste en designaciones otorgadas a los recursosl que pueden utilizarse
para varios propsitos como control de accesos, especificacion de medidas
de proteccin etc. Estas etiquetas no son modificables.

Control de acceso externo

Dispositivos de control de puertos
Estos dispositivos autorizan el acceso a un puerto determinado y pueden estar
fsicamente separados o incluidos en otro dispositivo de comunicaciones.
(modem)

Firewalls o Puertas de seguridad

Permiten bloquear o filtrar el acceso entre dos redes, usualmente una privada
y otra externa. Los firewalls permiten que los usuarios internos se conecten a
la red exterior al mismo tiempo que previenen la intromisin de atacantes o
virus a los sistemas de la organizacin.

Acceso de personal contratado o consultores

Debido a que este tipo de personal en general presta servicios temporarios, se
debe ponerse especial consideracin en la poltica y administracin de sus
perfiles de acceso.

Accesos publicos
Para los sistemas de informacin consultados por el pblico en general, o los
utilizados para distribuir o recibir informacin computarizada deben tenerse en
cuenta medidas especiales de seguridad ya que se incrementa el riesgo y se
dificulta su administracin
Debe considerarse para estos casos de sistemas pblicos, que un ataque
externo o interno pueden acarrear un impacto negativo en la imagen de la
organizacin.

Administracin

Una vez establecidos los controles de acceso sobre los sistemas y la

aplicacin es necesario realizar una eficiente administracin de estas medidas
de seguridad lgica, lo que involucra la implementacin, seguimientos,
pruebas y modificaciones sobre los accesos de los usuarios a los sistemas

La politica de seguridad que se desarrolle respecto a la seguridad lgica debe

guiar a las decisiones referidas a la determinacin del os controles de accesos
y especificando las consideraciones necesarias para el establecimiento de
perfiles de usuarios.

Niveles de seguridad
Informtica
El estndar de niveles de seguridad mas utilizado internacionalmente es el
TCSEC Orange Book, desarrollado en 1983 de acuerdo a las normas de
seguridad en comutadoras del Departamento de defensa de EEUU.
Los niveles describen diferentes tipos de seguridad del Sistema Operativo y se
enumeran desde el mnimo grado de seguridad al Mximo.
Estos niveles han sido la base de desarrollo de estndares europeos
(ITSEC/ITSEM) y luego internacionales (ISO/IEC).
Cabe aclarar que cada nivel requiere todos los niveles definidos anteriormente:
as el subnivel B2 abarca los subniveles B1, C2, C1, y el D.

Nivel D
Este nivel contiene slo una division y esta reservada para sistemas que han
sido evaluados y no cumplen con ninguna especificacin de seguridad. Sin
sistemas no confiables no hay proteccin para el hardware, el sistema
operativo es inestable y no hay autentificacin con respecto a los usuarios y
sus derechos en el acceso a la informacin. Los sistemas operativos que
responden a este nivel son MS-DOS y System 7.0 de Macintosh

Nivel C1: Proteccin Discrecional

Se requiere identificacin de usuarios que permite el acceso a distinta
informacin. Cada usuario puede manejar su informacin privada y se hace la
distincin entre los usuarios y el administrador del sistema, quien tiene control
total de acceso.
Muchas de las tareas cotidianas de administracin del sistema slo pueden ser
realizadas por este super usuario; quien tiene gran responsabilidad en la
seguridad del mismo.

Nivel C2
Este subnivel fue diseado para solucionar las debilidades del C1. Cuenta con
caractersticas adicionales que crean un ambiente de acceso controlado. Se
debe llevar una auditoria de accesos e intentos fallidos de acceso a objetos.
Tiene la capacidad de restringir an mas el que los usuarios ejecuten ciertos
comandos o tengan acceso a ciertos archivos, permitir o denegar datos a
usuarios en concreto, con base no solo en los permisos, sino tambien en los
niveles de autorizacin.

Nivel B1: Seguridad Etiquetada

Este subnivel, es el primero de los tres con que cuenta el nivel B. Soporta
seguridad multinivel como la secreta y ultrasecreta. Se establece que el dueo
del archivo no puede modificar los permisos de un objeto que esta bajo el
control de acceso obligatorio. A cada objeto del sistema (usuario, dato, etc) se
le asigna una etiqueta, con un nivel de seguridad jerrquico (alto secreto,
secreto, reservado, etc.) y con unas categoras (contabilidad, nminas,
ventas,etc).

Nivel B2: Proteccin Estructurada

Requiere que se etiquete cada objeto de nivel superior por ser padre de un
objeto inferior. La proteccin estructurada es la primera que empieza a
referirse al problema de un objeto a un nivel mas elevado de seguridad en
comunicacin con otro objeto a un nivel inferior. As un disco rgido ser
etiquetado por almacenar archivos que son accedidos por distintos usuarios.
El sistema es capaz de alertar a los usuarios si sus condiciones de
accesibilidad y seguridad son modificadas; y el administrador es el encargado
de fijar los canales de almacenamiento y ancho de banda a utilizar por los
dems usuarios.

Nivel B3: Dominios de Seguridad

Refuerza a los dominios con la instalacin de hardware: por ejemplo el
hardware de administracin de memoria se usa para proteger el dominio de
seguridad de acceso no autorizado a la modificacin de objetos de diferentes
dominios de seguridad. Existe un monitor de referencia que recibe las
peticiones de acceso de cada usuario y las permite o las deniega segn las
politicas de acceso que se hayan definido.

Nivel A: proteccin verificada

Es el nivel mas elevado, incluye un proceso de diseo, control y verificacin,
mediante mtodos formales (matemticos) para asegurar todos los procesos
que realiza un usuario sobre el sistema.
Para llegar a este nivel de seguridad, todos los componentes de los niveles
inferiores deben incluirse. El diseo requiere ser verificado de forma
matemtica y tambin se deben realizar anlisis de canales encubiertos y de
distribucin confiable. El software y el hardware son protegidos para evitar
infiltraciones ante traslados o movimientos de equipamiento

Delitos informticos
La informacin y el Delito
El delito informtico implica actividades criminales que los pases han tratado
de encuadrar en figuras tpicas de carcter tradicional, tales como robos,
hurtos, fraudes, falsificaciones, perjuicios, estafas, sabotajes. Sin embargo,
debe de destacarse que el uso de las tcnicas informticas han creado nuevas
posibilidades del uso indebido de las computadoras lo que ha creado la
necesidad de regulacin por parte del derecho.
Se considera que no existe una definicin formal y universal del delito
informtico pero se han formulado conceptos respondiendo a realidades
nacionales concretas: no es labor fcil dar un concepto sobre delitos
informticos, en razn de que su misma denominacin alude a una situacin
muy especial, ya que para hablar de delitos en el sentido de aciones tpicas,
es decir tipificadas o contempladas en textos jurdicos penales, se requiere
que la expresin de delitos informticos este consignada en los cdigos
penales, lo cual en nuestro pas, al igual que en muchos otros no han sido
objeto de tipificacin an.

Tipos de delitos Informticos

La ONU reconocen los siguientes tipos de delitos informticos:
1. Fraudes cometidos mediante la manipulacin de computadoras
2. Manipulacin de los datos de entrada
3. Daos o modificaciones de programas o datos computarizados
Adicionalmente a estos tipos de delitos reconocidos, el XV Congreso
Internacional de Derecho ha propuesto todas las formas de conductas
lesivas de la que puede ser objeto la informacin. Ellas son:
Fraude en el campo de la informtica
Falsificacin en materia informtica
Sabotaje informtico y daos a datos computarizados o programas inf.
Acceso no autorizado
Intercepcin sin autorizacin.
Reproduccin no autorizada de un programa informtico protegido.
Espionaje informtico
Uso no autorizado de una computadora.
Trafico de claves informticos obtenidas por medio ilcito
Distribucin de virus o programas delictivos.

Delincuente y Victima
Sujeto Activo:
Se llama as a las personas que cometen los delitos informticos. Son aquellas
que poseen ciertas caractersticas que no presentan el denominador comn de
los delincuentes, esto es, los sujetos activos tienen habilidades para el manejo
de sistemas informticos y generalmente por su situacin laboral se
encuentran en lugares estratgicos donde se maneja informacin de carcter
sensible, o bien son hbiles en el uso de los sistemas , an cuando, en
muchos de los casos no desarrollen actividades laorales que faciliten la
comisin de este tipo de delitos.
Sujeto Pasivo:
Este, es la victima del delito, es el ente sobre el cual recae la conducta de
accin u omisin que realiza el sujeto activo. Las victimas pueden ser
individuos, instituciones crediticias, instituciones militares, gobiernos, etc.
Que usan sistemas automatizados de informacin, generalmente conectados a
otros.

Amenazas humanas
Definicin de un Hacker
Un Hacker es una persona que est siempre en una continua bsqueda de
informacin, vive para aprender y todo para l es un reto; no existen barreras,
y lucha por la difusin libre de informacin (Free Information), distribucin de
software sin costo y la globalizacin de la comunicacin.

Otras definiciones
1. Un verdadero Hacker es curioso y paciente. Si no fuera as terminaran por
hartarse en el intento de entrar en el mismo sistema una y otra vez,
abandonando el objetivo.
2. Un verdadero Hacker no se mete en el sistema para borrarlo todo o para
vender lo que consiga. Quiere aprender y satisfacer su curiosidad. Esa es
la nica finalidad de introducirse en el sistema. Buscan dentro de un lugar
en el que nunca han estado, exploran todos los pequeos rincones de un
mundo diferente del que ya conocen y que les aburre. Porqu destruir
algo y perderse el placer de decir a los dems que hemos estado en un
lugar donde ellos no han estado?.

3. Un Hacker es inconformista, porqu pagar por una conexin que

actualmente cuesta mucho dinero, y adems es limitada? Porqu pagar por
una informacin que solo van a utilizar una vez?.
4. Un Hacker es discreto, es decir que cuando entra en un sistema es para su
propia satisfaccin, no van por ah cantndolo a los cuatro vientos. La mayora
de los casos de Hackers escuchados son en realidad Fantasming. Esto quiere
decir, que si un amigo se entera que se ha entrado en cierto sistema; el ruido de
los canales de comunicacin har que se termine sabiendo que se ha entrado
en un sistema cinco veces mayor, que haba destruido miles de ficheros y que
haba inutilizado el sistema.
5. Un Hacker disfruta con la exploracin de los detalles de los sistemas
programables y aprovecha sus posibilidades; al contrario de la mayora de los
usuarios, que prefieren aprender slo lo imprescindible.
6. Un Hacker programa de forma entusiasta (incluso obsesiva), rpido y bien.
7. Un Hacker es experto en un programa en particular, o realiza trabajos
frecuentemente usando cierto programa. Por ejemplo un Hacker de Unix
programador en C.

8. Los Hackers suelen congregarse. Tiende a connotar participacin como

miembro en la comunidad global definida como La ReD.
9. Un Hacker disfruta del reto intelectual de superar o rodear las limitaciones de
forma creativa.
10. Antiguamente en esta lista se inclua: Persona maliciosa que intenta
descubrir informacin sensible: contraseas, acceso a redes, etc. Pero para
este caso en particular los verdaderos Hackers han optado por el trmino
Cracker y siempre se espera (quizs intilmente) que se los diferencie.

CRACKERS
Los Crackers, en realidad, son hackers cuyas intenciones van ms all de la
investigacin. Es una persona que tiene fines maliciosos o de venganza, quiere
demostrar sus habilidades pero de la manera equivocada o simplemente
personas que hacen dao solo por diversin. Los hackers opinan de ellos que
son ... Hackers mediocres, no demasiados brillantes, que buscan violar
(literalmente break) un sistema.

PHREAKERS
Otro personaje en el Underground es el conocido como Phreaker. El
Phreaking, es la actividad por medio de la cual algunas personas con ciertos
conocimientos y herramientas de hardware y software, pueden engaar a las
compaas telefnicas para que stas no cobren las llamadas que se hacen.

CARDING - TRASHING
Entre las personas que dedicaban sus esfuerzos a romper la seguridad como
reto intelectual hubo un grupo (con no tan buenas intenciones) que trabajaba
para conseguir una tarjeta de crdito ajena. As naci:
1. El Carding, es el uso (o generacin) ilegitimo de las tarjetas de crdito (o sus
nmeros), pertenecientes a otras personas con el fin de obtener los bienes
realizando fraude con ellas. Se relaciona mucho con el Hacking y el Cracking,
mediante los cuales se consiguen los nmeros de las tarjetas.
2. El Trashing, que consiste en rastrear en las papeleras en busca de
informacin, contraseas o directorios.

OTROS HABITANTES DEL

CIBERESPACIO
GURS
Son considerados los maestros y los encargados de formar a los futuros
hackers. Generalmente no estn activos pero son identificados y reconocidos
por la importancia de sus hackeos, de los cuales slo ensean las tcnicas
bsicas.

LAMERS O SCRIPT-KIDDERS
Son aficionados jactosos. Prueban todos los programas (con el ttulo como
ser un hacker en 21 das) que llegan a sus manos. Generalmente son los
responsables de soltar virus y bombas lgicas en la red slo con el fin de
molestar y que otros se enteren que usa tal o cual programa. Son aprendices
que presumen de lo que no son aprovechando los conocimientos del hacker y
lo ponen en prctica sin saber.

COPYHACKERS
Literalmente son falsificadores sin escrpulos que comercializan todo lo
copiado (robado).

BUCANEROS
Son comerciantes sucios que venden los productos crackeados por otros.
Generalmente comercian con tarjetas de crdito y de acceso y compran a los
copyhackers. Son personas sin ningn (o escaso) conocimiento de informtica
y electrnica.

NEWBIE
Son los novatos del hacker. Se introducen en sistemas de fcil acceso y
fracasan en muchos intentos, slo con el objetivo de aprender las tcnicas
que puedan hacer de l, un hacker reconocido.

WANNABER
Es aquella persona que desea ser hacker pero estos consideran que su
coeficiente no da para tal fin. A pesar de su actitud positiva difcilmente
consiga avanzar en sus propsitos.

SAMURAI
Son lo ms parecido a una amenaza pura. Sabe lo que busca, donde
encontrarlo y cmo lograrlo. Hace su trabajo por encargo y a cambio de
dinero. Estos personajes, a diferencia de los anteriores, no tienen conciencia
de comunidad y no forman parte de los clanes reconocidos por los hackers.
Se basan en el principio de que cualquiera puede ser atacado y saboteado,
solo basta que alguien lo desee y tenga el dinero para pagarlo.

PIRATAS INFORMTICOS
Este personaje (generalmente confundido con el hacker) es el realmente
peligroso desde el punto de vista del Copyright, ya que copia soportes
audiovisuales (discos compactos, cassettes, DVD, etc.) y los vende ilegalmente.

CREADORES DE VIRUS
Si de daos y mala fama se trata estos personajes se llevan todos los premios.
Aqu, una vez ms, se debe hacer la diferencia entre los creadores: que se
consideran a s mismos desarrolladores de software; y los que infectan los
sistemas con los virus creados. Sin embargo es difcil imaginar que cualquier
desarrollador no se vea complacido al ver que su creacin ha sido
ampliamente adquirida por el pblico.

PERSONAL (INSIDERS)
Hasta aqu se ha presentado al personal como vctima de atacantes externos;
sin embargo, de los robos, sabotajes o accidentes relacionados con los
sistemas informticos, el 70% son causados por el propio personal de la
organizacin propietaria de dichos sistemas (Inside Factor)

El siguiente grfico detalla los porcentajes de intrusiones clasificando a los

atacantes en internos y externos.

PERSONAL INTERNO
Las amenazas a la seguridad de un sistema, provenientes del personal del
propio sistema informtico, rara vez es tomada en cuenta porque se supone un
mbito de confianza muchas veces inexistente. Generalmente estos ataques
son accidentes por desconocimiento o inexistencia de las normas bsicas de
seguridad; pero tambin pueden ser del tipo intencional.

Es de destacar que un simple electricista puede ser ms daino que el ms

peligroso de los piratas informticos, ya que un corte de energa puede causar
un desastre en los datos del sistema. Al evaluar la situacin, se ver que aqu
el dao no es intencionado pero ello no esta en discusin; el dao existi y
esto es lo que compete a la seguridad informtica.

EX-EMPLEADO
Este grupo puede estar especialmente interesado en violar la seguridad de
nuestra empresa, sobre todo aquellos que han sido despedidos y no han
quedado conformes; o bien aquellos que han renunciado para pasar a trabajar
en la competencia. Generalmente se trata de personas descontentas con la
organizacin que conocen a la perfeccin la estructura del sistema y tienen los
conocimientos necesarios como para causar cualquier tipo de dao. Tambin
han existido casos donde el ex-empleado deja Bombas Lgicas que explotan
tiempo despus de marcharse.

CURIOSOS
Suelen ser los atacantes ms habituales del sistema. Son personas que tienen
un alto inters en las nuevas tecnologas, pero an no tienen los
conocimientos ni experiencia bsicos para considerarlos hackers o crackers
(podran ser Newbies). En la mayora de los casos son estudiantes intentando
penetrar los servidores de su facultad o empleados consiguiendo privilegios
para obtener informacin para l vedada. Generalmente no se trata de ataques
de dao pero afectan el entorno de fiabilidad con confiabilidad generado en
un sistema.

TERRORISTAS
Bajo esta definicin se engloba a cualquier persona que ataca el sistema para
causar dao de cualquier ndole en l; y no slo a la persona que coloca
bombas o quema automviles. Son ejemplos concretos de este tipo, ataque de
modificacin de los datos de clientes entre empresa competidoras, o de
servidores que albergan pginas web, bases de datos entre partidos polticos
contrarios, etc.

INTRUSOS REMUNERADOS
Este es, sin duda, el grupo de atacantes ms peligroso, aunque tambin el
menos habitual. Se trata de crackers o piratas con grandes conocimientos y
experiencia, pagados por una tercera parte para robar secretos (cdigo
fuente de programas, bases de datos de clientes, informacin confidencial de
satlites, diseo de un nuevo producto, etc.) o simplemente para daar, de
alguna manera la imagen de la entidad atacada.
Suele darse, slo, en grandes multinacionales donde la competencia puede
darse el lujo de un gran gasto para realizar este tipo de contratos y contar con
los medios necesarios para realizar el ataque.

RECOMENDACIONES
Una norma bsica, sera verificar cada aspirante a ser nuevo empleado; aunque
tampoco debemos olvidar que el hecho de que alguien entre limpio a la
organizacin no implica que vaya a seguir as durante el tiempo que trabaje en
la misma, y mucho menos cuando abandone su trabajo. Para minimizar el dao
que un atacante interno puede causar se pueden seguir estos principios
fundamentales:
Necesidad de conocimiento (Need to Know): comnmente llamado mnimo
privilegio. Cada usuario debe tener el mnimo privilegio que necesite para
desempear correctamente su funcin, es decir, que slo se le debe permitir
que sepa lo necesario para realizar su trabajo.
Conocimiento parcial (dual control): las actividades ms delicadas dentro de la
organizacin deben ser realizadas por dos personas competentes, de forma
que si uno comete un error en las polticas de seguridad el otro pueda
subsanarlo. Esto tambin es aplicable al caso de que si uno abandona la
organizacin el otro pueda seguir operando el sistema mientras se realiza el
reemplazo de la persona que se retir.

Rotacin de funciones: la mayor amenaza del conocimiento parcial de tareas

es la complicidad de dos responsables, de forma tal, que se pueda ocultar
sendas violaciones a la seguridad. Para evitar el problema, una norma comn
es rotar (dentro de ciertos lmites) a las personas a lo largo de diferentes
responsabilidades, para establecer una vigilancia mutua.
Separacin de funciones: es necesario que definan y separen correctamente
las funciones de cada persona, de forma que alguien cuya tarea es velar por la
seguridad del sistema no posea la capacidad para violarla sin que nadie se
percate de ello.

Cancelacin inmediata de cuenta: cuando un empleado abandona la

organizacin se debe cancelar inmediatamente el acceso a sus antiguos
recursos y cambiar las claves que el usuario conoca. Quizs este ltimo punto
sea el ms difcil de implementar debido a la gran cantidad de usuarios que se
deben informar de los nuevos accesos y de la movilidad de alguno de ellos.

AMENAZAS LGICAS
La Entropa es una magnitud termodinmica que cuantifica el grado de
desorden de un sistema; y segn las leyes fsicas todo sistema tiende a su
mxima entropa. Si extrapolamos este concepto a la Seguridad resultara que
todo sistema tiende a su mxima inseguridad. Este principio supone decir:
Los protocolos de comunicacin utilizados carecen, en su mayora, de
seguridad o esta ha sido implementada, tiempo despus de su creacin, en
forma de parche.
Existen agujeros de seguridad en los sistemas operativos.
Existen agujeros de seguridad en las aplicaciones.
Existen errores en las configuraciones de los sistemas.
Los usuarios carecen de informacin respecto al tema.
Todo sistema es inseguro.
Esta lista podra seguir extendindose a medida que se evalen mayor
cantidad de elementos de un Sistema Informtico.

ACCESO - USO - AUTORIZACIN

La identificacin de estas palabras es muy importante ya que el uso de
algunas implica un uso desapropiado de las otras.
Especficamente Acceso y Hacer Uso no son el mismo concepto cuando
se estudian desde el punto de vista de un usuario y de un intruso. Por
ejemplo:
Cuando un usuario tiene acceso autorizado, implica que tiene autorizado el
uso de un recurso.
Cuando un atacante tiene acceso desautorizado est haciendo uso
desautorizado del sistema.
Pero, cuando un atacante hace uso desautorizado de un sistema, esto
implica que el acceso fue autorizado (simulacin de usuario).
Luego un Ataque ser un intento de acceso, o uso desautorizado de un
recurso, sea satisfactorio o no. Un Incidente envuelve un conjunto de ataques
que pueden ser distinguidos de otro grupo por las caractersticas del mismo
(grado, similitud, tcnicas utilizadas, tiempos, etc.).

DETECCIN DE INTRUSOS
A finales de 1996, Dan Farmer (creador de una de las herramientas ms tiles
en la deteccin de intrusos: SATAN) realiz un estudio sobre seguridad
analizando 2.203 sistemas de sitios en Internet. Los sistemas objeto del estudio
fueron Web Sites orientados al comercio y con contenidos especficos, adems
de un conjunto de sistemas informticos aleatorios con los que realizar
comparaciones.
El estudio se realiz empleando tcnicas sencillas y no intrusivas. Se dividieron
los problemas potenciales de seguridad en dos grupos: rojos (red) y amarillos
(yellow).
Los problemas del grupo rojo son los ms serios y suponen que el sistema
est abierto a un atacante potencial, es decir, posee problemas de seguridad
conocidos en disposicin de ser explotados.
As por ejemplo, un problema de seguridad del grupo rojo es un equipo que
tiene el servicio de FTP annimo mal configurado. Los problemas de seguridad
del grupo amarillo son menos serios pero tambin reseables. Implican que el
problema detectado no compromete inmediatamente al sistema pero puede
causarle serios daos o bien, que es necesario realizar tests ms intrusivos
para determinar si existe o no un problema del grupo rojo.

Aunque los resultados son lmites superiores, no dejan de ser...

escandalosos.
Como puede observarse, cerca de los dos tercios de los sistemas analizados
tenan serios problemas de seguridad y Farmer destaca que casi un tercio de
ellos podan ser atacados con un mnimo esfuerzo.

IDENTIFICACIN DE LAS AMENAZAS

La identificacin de amenazas requiere conocer los tipos de ataques, el tipo de
acceso, la forma operacional y los objetivos del atacante.
Las consecuencias de los ataques se podran clasificar en:
Data Corruption: la informacin que no contena defectos pasa a tenerlos.
Denial of Service (DoS): servicios que deberan estar disponibles no lo estn.
Leakage: los datos llegan a destinos a los que no deberan llegar.

TIPOS DE ATAQUE
INGENIERA SOCIAL
Es la manipulacin de las personas para convencerlas de que ejecuten
acciones o actos que normalmente no realizan para que revele todo lo
necesario para superar las barreras de seguridad. Si el atacante tiene la
experiencia suficiente (generalmente es as), puede engaar fcilmente a un
usuario (que desconoce las mnimas medidas de seguridad) en beneficio
propio. Esta tcnica es una de las ms usadas y efectivas a la hora de
averiguar nombres de usuarios y passwords.
Para evitar situaciones de IS es conveniente tener en cuenta estas
recomendaciones:
Tener servicio tcnico propio o de confianza.
Instruir a los usuarios para que no respondan ninguna pregunta sobre
cualquier caracterstica del sistema y deriven la inquietud a los responsables
que tenga competencia para dar esa informacin.
Asegurarse que las personas que llaman por telfono son quien dicen ser. Por
ejemplo si la persona que llama se identifica como proveedor de Internet lo
mejor es cortar y devolver la llamada a forma de confirmacin.

INGENIERA SOCIAL INVERSA

Consiste en la generacin, por parte de los intrusos, de una situacin inversa a
la originada en Ingeniera Social.
En este caso el intruso publicita de alguna manera que es capaz de brindar
ayuda a los usuarios, y estos lo llaman ante algn imprevisto. El intruso
aprovechara esta oportunidad para pedir informacin necesaria para
solucionar el problema del usuario y el suyo propio (la forma de acceso al
sistema).
La ISI es ms difcil de llevara cabo y por lo general se aplica cuando los
usuarios estn alertados de acerca de las tcnicas de IS. Puede usarse en
algunas situaciones especficas y despus de mucha preparacin e
investigacin por parte del intruso:
1. Generacin de una falla en el funcionamiento normal del sistema. Requiere
que el intruso tenga un mnimo contacto con el sistema.
2. Comunicacin a los usuarios de que la solucin es brindada por el intruso
(publicidad).
3. Provisin de ayuda por parte del intruso encubierto como servicio tcnico.

TRASHING (CARTONEO)
Generalmente, un usuario anota su login y password en un papelito y luego,
cuando lo recuerda, lo arroja a la basura. Este procedimiento por ms inocente
que parezca es el que puede aprovechar un atacante para hacerse de una llave
para entrar el sistema...nada se destruye, todo se transforma.
El Trashing puede ser fsico (como el caso descripto) o lgico, como analizar
buffers de impresora y memoria, bloques de discos, etc.
El Trashing fsico suele ser comn en organizaciones que no disponen de alta
confidencialidad, como colegios y universidades.

ATAQUES DE MONITORIZACIN
Este tipo de ataque se realiza para observar a la victima y su sistema, con el
objetivo de obtener informacin, establecer sus vulnerabilidades y posibles
formas de acceso futuro.
SHOULDER SURFING
DECOY (SEUELOS)
SCANNING (BSQUEDA)
TCP Connect Scanning
TCP SYN Scanning
TCP FIN Scanning - StealthPortScanning
Fragmentation Scanning
EAVESDROPPING - PACKET SNIFFING
SNOOPING - DOWNLOADING

ATAQUES DE
AUTENTIFICACIN
Este tipo de ataque tiene como objetivo engaar al sistema de la vctima para
ingresar al mismo. Generalmente este engao se realiza tomando las sesiones
ya establecidas por la vctima u obteniendo su nombre de usuario y password.
SPOOFING LOOPING
SPOOFING
WEB SPOOFING
IP SPLICING HIJACKING
UTILIZACIN DE BACKDOORS
UTILIZACIN DE EXPLOITS
OBTENCIN DE PASSWORDS

DENIAL OF SERVICE (DOS)

Los protocolos existentes actualmente fueron diseados para ser empleados
en una comunidad abierta y con una relacin de confianza mutua. La realidad
indica que es ms fcil desorganizar el funcionamiento de un sistema que
acceder al mismo; as los ataques de Negacin de Servicio tienen como
objetivo saturar los recursos de la vctima de forma tal que se inhabilita los
servicios brindados por la misma.
JAMMING O FLOODING
SYN FLOOD
CONNECTION FLOOD
NET FLOOD
LAND ATTACK
SMURF O BROADCAST STORM
OOB, SUPERNUKE O WINNUKE
TEARDROP I Y II NEWTEAR - BONK-BOINK
E-Mail Bombing - Spamming

ATAQUES DE MODIFICACIN-DAO
TAMPERING O DATA DIDDLING
BORRADO DE HUELLAS
ATAQUES MEDIANTE JAVA APPLETS
ATAQUES CON JAVASCRIPT Y VBSCRIPT
ATAQUES MEDIANTE ACTIVEX
VULNERABILIDADES EN LOS NAVEGADORES

CMO DEFENDERSE DE ESTOS ATAQUES?

La mayora de los ataques mencionados se basan en fallos de diseo

inherentes a Internet (y sus protocolos) y a los sistemas operativos utilizados,
por lo que no son solucionables en un plazo breve de tiempo. La solucin
inmediata en cada caso es mantenerse informado sobre todos los tipos de
ataques existentes y las actualizaciones que permanentemente lanzan las
empresas desarrolladoras de software, principalmente de sistemas operativos.

Las siguientes son medidas preventivas. Medidas que toda red y administrador
deben conocer y desplegar cuanto antes:
1. Mantener las mquinas actualizadas y seguras fsicamente
2. Mantener personal especializado en cuestiones de seguridad (o
subcontratarlo).
3. Aunque una mquina no contenga informacin valiosa, hay que tener en
cuenta
que puede resultar til para un atacante, a la hora de ser empleada en un DoS
coordinado o para ocultar su verdadera direccin.
4. No permitir el trfico broadcast desde fuera de nuestra red. De esta forma
evitamos ser empleados como multiplicadores durante un ataque Smurf.
5. Filtrar el trfico IP Spoof.
6. Auditorias de seguridad y sistemas de deteccin.
7. Mantenerse informado constantemente sobre cada unas de las
vulnerabilidades
encontradas y parches lanzados. Para esto es recomendable estar suscripto a
listas
que brinden este servicio de informacin.
8. Por ltimo, pero quizs lo ms importante, la capacitacin continua del
usuario.