1.

DESCRIPCIÓN DEL PROBLEMA DE LA SEGURIDAD EN

LAS COMUNICACONES. TIPOS DE ATAQUES

1.1 INTRODUCCIÓN
 Nuestro mundo está repleto de sistemas, compuestos por máquinas y por programas.
 Muchos de estos sistemas forman parte de redes, privadas o corporativas, públicas, grandes o pequeñas,
interconectadas unas con otras y comunicándose entre sí mediante otro gran sistema hardware, gestionado,
a su vez, por un conjunto de aplicaciones con distintos objetivos, a los que se denominan protocolos.
 Los sistemas son complejos y capaces de interactuar.
 Otra propiedad curiosa y desagradable de los sistemas es que muchos de ellos hacen cosas no pensadas, ni
diseñadas por sus creadores y usuarios. Se puede decir que los sistemas tienen propiedades no buscadas.
 Los sistemas, especialmente los ordenadores de todas las clases y con cualquier tipo de software, tienen
estas propiedades no buscadas (bugs).
 Un bug es una clase de fallo del sistema muy típico de la informática; es simplemente, una propiedad no
deseada de un sistema, que no se debe confundir con que el sistema no funcione correctamente.
 Ayudará bastante pensar, desde el principio que, todos sus componentes hardware, software, etc., la
seguridad es un sistema dentro de sistemas mayores, que más que un producto o conjunto de ellos, más
que una o varias tecnologías, la seguridad es un proceso, que hace intervenir todas las tecnologías, todos los
productos y especialmente, el sentido común de los seres humanos que la gestionan, ese mismo sentido
común que es el menos común de los sentidos.
 Debe tener en cuenta la prevención, la detección y la respuesta al problema concreto.
 Con todo esto en mente, se tratará de identificar cuáles son las preguntas que uno debe hacerse para definir
mejor el sistema que uno quiere asegurar, explorando alguna solución aparentemente perfecta y llegando a
una solución imperfecta pero realista, basada en lo que se llamará política de seguridad del sistema,
herramienta básica para la seguridad.

1.2 LAS PREGUNTAS QUE DEBEN HACERSE PARA DEFINIR EL PROBLEMA

A. ¿Qué es lo que se quiere tener protegido? O ¿qué se puede perder?
 Esta pregunta debe llevar a realizar un inventario de los activos, entendiendo como tales los sistemas,
redes, aplicaciones, elementos de red, bases de datos y en general cualquier tipo de activo, físico o no,
que se quiera tener asegurado.
 No todos los activos tendrán el mimo valor y esté será un criterio muy importante a la hora de
establecer una estrategia de cara a la seguridad.

B. ¿Contra quién se quiere proteger? O ¿en quién se puede confiar y en quién no?, ¿Quiénes son los posibles
atacantes?
 En otros libros, refiriéndose a esta idea, se desarrolla lo que se llama el modelo de confianza.
 Con este análisis se debe decidir que empleados tienen acceso a que activos y por qué, que tipo de
acceso se va a dar a cada persona de cada organización que colabore con la empresa, que tipo de acceso
a ordenadores, redes y datos. Asimismo, se deberá pensar en qué tipo de acceso van a tener los posibles
clientes de la organización.
 Además, se debe meditar lo más posible sobre quién y por qué querría atacar a la organización.
 Los tipos de atacantes más habituales son:

1 Longinos Recuero Bustos Seguridad 2012-13 http://longinox.blogspot.com

 o El hacker: Personas muy expertas en un sistema operativo, protocolos, etc., que, en el caso de
encontrarse fallos de seguridad de un sistema, lo notificaban al fabricante, incluso, a veces,
facilitando, además una posible solución.
o El amateur que juega (wannabes): El perfil suele ser el de una persona joven, sin experiencia de
sistemas ni de redes, que usan herramientas automáticas contra sistemas por Internet, para ver
qué pasa.
o El profesional: El menos numeroso, pero el más peligroso. Se conoce como tal al individuo que
presta sus conocimientos y experiencia para atacar con un objetivo concreto, que puede ser el
robo, la alteración de información con fines delictivos o el sabotaje.

C. ¿Cómo se quiere proteger? O ¿qué tecnologías, mecanismos, sistemas concretos, procesos se van a utilizar
para protegerlo?
 Para contestar bien a esta pregunta se tiene que conocer dos temas complejos:
1. Los distintos tipos de ataques posibles:
 Ataques para obtener información.
 Ataques de acceso no autorizado.
 Ataques con revelación de información.
 Ataques de denegación de servicio.
2. Las distintas defensas posibles:
 Esquemas de seguridad de sistemas operativos.
 Sistemas de identificación o autenticación seguros.
 Sistemas de cortafuegos (o firewalls).
 Sistemas criptográficos.
 Sistemas antivirus.
 Sistemas de análisis de vulnerabilidades.
 Sistemas de detección de intrusiones.

D. ¿Cuánto dinero se puede emplear en implantar y mantener el sistema de seguridad?

 Se debe tener en cuenta el dinero o recursos de todo tipo que van a ser empleados en cada una de las
siguiente tareas:
1. Adquisición de herramienta hardware y software, que implementen alguna de las defensas
citadas.
2. El tiempo empleado en configurarlas y educar a los usuarios en su uso.
3. El tiempo empleado en la administración, mantenimiento y reconfiguración para permitir nuevos
servicios, auditar las herramientas, etc.
4. El tiempo empleado, en volver a una situación estable, después de la inconveniencia para los
usuarios de algunos de los nuevos sistemas.

 Finalmente, se debería tratar de condensar todo este conocimiento en un análisis de riesgo que tendría
4 puntos clave:
1. Valorar los activos.
2. Entender todas las posibles amenazas.
3. Monitorizar y conocer todas las debilidades y vulnerabilidades del sistema.
4. Tratar de poner en marcha todas las medidas posibles para disminuir la probabilidad de tener
pérdidas.

2 Longinos Recuero Bustos Seguridad 2012-13 http://longinox.blogspot.com

1.3 SOLUCIONES APARENTEMENTE PERFECTAS Y SOLUCIONES RAZONABLES
 Contra problemas tan complejos como los comentados, se puede hacer una aproximación completa, en el
sentido de tratarlos como problemas científicos, estudiarlos de manera analítica, teniendo como objetivo
que, en el sistema concreto, la probabilidad de sufrir un ataque sea lo más cercana a cero.
 A esta aproximación se le da el nombre de aproximación militar y pasa por cumplir una serie de requisitos
sobre todas las partes de la organización que va a ser asegurada y lleva a tomar una serie de decisiones de
mucho peso, como por ejemplo:
o No aceptación de ningún código de aplicación no desarrollado siguiendo las propias normas de
seguridad.
o No aceptación de ningún sistema operativo o actualización de este que no esté suficientemente
comprobado.
o No conectarse a Internet o, si ya estuviese conectado, desconectarse de ella y constituir una red
propia.

 En este sentido es en el que se habla de una aproximación realista, en la cual se tienen en cuenta todos los
factores citados en el apartado anterior, pero también el de no gastarse todo el presupuesto de la
organización y sus recursos.
 En el marco de esta aproximación se define lo que se denomina política de seguridad:
o Una serie de sentencias formales (normas) que deben cumplir todas las personas que tengan acceso
a cualquier información y/o tecnología de una organización.

 Una buena política de seguridad debe cumplir una serie de normas generales, una vez más, de sentido
común:
1. Debe poderse implantar.
2. Debe entenderse.
3. Debe cumplirse.
4. Debe definir responsabilidades.
5. Debe permitir que se siga realizándose el trabajo normal.
6. Debe ser exhaustiva.
7. Debe incluir mecanismos de respuesta.
8. Debe tener mecanismos de actualización.

3 Longinos Recuero Bustos Seguridad 2012-13 http://longinox.blogspot.com