Antología Seguridad Informatica II

Institución Certificada
Norma ISO 9001:2000
INSTITUTO TECNOLÓGICO SUPERIOR DE

CENTLA
Academia de Informática y
Sistemas Computacionales
Antología
ESP - SEGURIDAD INFORMATICA II
Presenta
Ing. Manuel Torres Vásquez
Revisado por los integrantes de la academia

de Informática y Sistemas Computacionales
Material compilado con fines académicos
Fecha elaboración: Octubre 2009

INSTITUTO TECNOLÓGICO SUPERIOR DE CENTLA
Academia de Informática y Sistemas Computacionales
Tabla de Contenido
Unidad I
Implementación de la seguridad informática
1.1 Sistemas y Mecanismos de Protección

1.1.1 Seguridad Física
1.1.1.1 Protección del hardware
1.1.1.1.1 Acceso Físico
1.1.1.1.2 Desastres Naturales
1.1.1.2 Contratación de Personal
1.1.2 Seguridad Lógica
1.1.2.1 Identificación y Autenticación
1.1.2.2 Modalidad de Acceso
1.1.2.3 Control de Acceso Interno
1.1.2.3.1 Contraseñas
1.1.2.3.2 Listas de Control de Acceso
1.1.2.3.3 Cifrado
1.1.2.4 Control de Acceso Externo
1.1.2.4.1 Dispositivos de Control de Puertos
1.1.2.4.2 Firewalls
1.1.2.4.2.1 Selección del Tipo de Firewall
1.1.2.4.2.2 Integración de las Políticas de Seguridad al Firewall
1.1.2.4.2.3 Revisión y Análisis del Mercado
1.1.2.4.3 Proxies
1.1.2.4.4 Integridad del Sistema
1.1.2.4.5 VPN (Virtual Private Networks)
1.1.2.4.6 DMZ (Zona Desmilitarizada)
1.1.2.4.7 Herramientas de Seguridad
1.2 Seguridad en Redes de Datos
1.2.1 Amenazas y Ataques a Redes
1.2.2 Elementos Básicos de Protección
1.2.3 Introducción a la Criptografía
1.2.4 Seguridad de la Red a nivel:
1.2.4.1 Aplicación
1.2.4.2 Transporte
1.2.4.3 Red
1.2.4.4 Enlace
1.2.5 Monitoreo
1.3 Seguridad en Redes Inalámbricas
1.3.1 Seguridad en el Access Point
1.3.2 SSID (Service Set Identifier)
1.3.3 WEP (Wired Equivalent Privacy)
1.3.4 Filtrado de MAC Address
1.3.5 RADIUS Authentication
1.3.6 WLAN VPN
1.3.7 Seguridad sobre 802.11(x)
Asignatura: Seguridad Informática II

Material compilado con fines académicos, se prohíbe su reproducción total o parcial sin autorización de cada
autor.
1.3.8 Nuevas Tecnologías de Seguridad para redes Inalámbricas

1.4 Seguridad en Sistemas
1.4.1 Riesgos de Seguridad en Sistemas
1.4.2 Arquitectura de los Sistemas
1.4.3 Problemas Comunes de Seguridad
1.4.4 Instalación Segura de Sistemas
1.4.5 Administración de Usuarios y controles de acceso
1.4.6 Administración de Servicios
1.4.7 Monitoreo
1.4.8 Actualización de los Sistemas
1.4.9 Mecanismos de Respaldo

autor.
Unidad II
Monitoreo de la seguridad informática

2.1 Administración de la Seguridad Informática
2.1.1 Administración de cumplimiento de Políticas
2.1.2 Administración de Incidentes
2.1.3 Análisis de nuevas Vulnerabilidades en la Infraestructura
2.1.4 Monitoreo de los Mecanismos de Seguridad
2.2 Detección de Intrusos
2.2.1 Sistemas Detectores de Intrusos
2.2.2 Falsos Positivos
2.2.3 Falsos Negativos
2.2.4 Métodos de Detección de Intrusos
2.2.4.1 Análisis de Tráfico
2.2.4.2 HIDS (Host Intrusión Detection System)
2.2.4.3 NIDS (Network Intrusión Detection System)
2.2.4.4 Nuevos métodos de detección
2.2.5 Identificación de Ataques
2.2.6 Análisis del Tiempo de Respuesta de los IDS

autor.
Unidad III
Control de la seguridad informática

3.1 Auditoría de Red
3.1.1 Concepto de Auditoría sobre la Red
3.1.2 Herramientas de Auditoría
3.1.3 Mapeo de la Red
3.1.4 Monitores de Red
3.1.5 Auditoría a Firewalls
3.1.6 Pruebas de Penetración sobre redes
3.1.7 Análisis de la Información y Resultados
3.2 Auditoría a Sistemas
3.2.1 Checklist de Seguridad
3.2.2 Baseline del Sistema
3.2.3 Auditoría a las Políticas del Sistema
3.2.4 Auditoría a usuarios
3.2.5 Comandos del Sistema
3.2.6 Herramientas para realizar Auditoría
3.2.7 Auditoría a los Registros y Bitácoras del Sistema
3.2.8 Auditoría a la Configuración del Sistema
3.2.9 Auditoría a la Capacidad de Recuperación ante Desastres
3.3 Análisis Forense a Sistemas de Cómputo
3.3.1 Introducción al Análisis Forense en Sistemas de Cómputo
3.3.2 Obtención y Protección de la Evidencia
3.3.3 Análisis Forense sobre Sistemas
3.3.3.1 Imágenes en Medios de Almacenamiento
3.3.3.2 Revisión de Bitácoras
3.3.3.3 Revisión del Sistema de Archivos
3.3.3.3.1 Tiempos de Modificación, Acceso y Creación
3.3.3.4 Revisión de Procesos
3.3.3.5 Herramientas y Técnicas del Análisis Forense
3.3.4 Herramientas para Obtener información de la Red
3.3.6 Sistemas de Detección de Intrusos
3.3.6.1 Aplicación de los Sistemas de Detección de Intrusos en la Seguridad
Informática
3.3.6.2 Tipos de Sistemas de Detección de Intrusos
3.3.6.3 Nivel de Interacción de los Sistemas de Detección de Intrusos
3.4 Respuesta y Manejo de Incidentes
3.4.1 Respuesta a Incidentes
3.4.2 Creación de un Equipo de Respuesta a Incidentes de Seguridad
Informática
Unidad IV

autor.
Entorno social e impacto económico de la seguridad

informática
4.1 Legislación Mexicana

4.1.1 Acceso Ilícito a Sistemas
4.1.2 Código Penal
4.1.3 Derechos de Autor
4.1.4 Actualidad de la legislación sobre delitos informáticos
4.2 Ley Modelo (CNUDMI)
4.3 Legislaciones Internacionales
4.3.1 Legislación de Estados Unidos de América en Materia Informática
4.3.2 Legislación de Australia en Materia Informática
4.3.3 Legislación de España en Materia Informática
4.3.4 Otras Legislaciones
4.4 Impacto Social de la Seguridad Informática
4.5 Impacto Económico de la Seguridad Informática
Unidad V
Nuevas tendencias y tecnologías

5.1 Cultura de la Seguridad Informática
5.2 Nuevas Tecnologías de Protección
5.3 Tendencias en Ataques y Nuevos Problemas de Seguridad
5.3.1 SPAM
5.3.2 Malware
5.3.3 Exploits de Días Cero
5.3.4 Metasploits
5.3.5 Otros

autor.
UNIDAD I
IMPLEMENTACIÓN DE LA SEGURIDAD INFORMÁTICA
1. IMPLEMENTACIÓN DE LA SEGURIDAD INFORMÁTICA
1.1 Sistemas y Mecanismos de Protección
La seguridad informática consiste en asegurar que los recursos del sistema de

información (material informático o programas) de una organización sean
utilizados de la manera que se decidió y que el acceso a la información allí
contenida así como su modificación sólo sea posible a las personas que se
encuentren acreditadas y dentro de los límites de su autorización.
Podemos entender como seguridad un estado de cualquier tipo de información

(informático o no) que nos indica que ese sistema está libre de peligro, daño o
riesgo. Se entiende como peligro o daño todo aquello que pueda afectar su
funcionamiento directo o los resultados que se obtienen del mismo. Para la
mayoría de los expertos el concepto de seguridad en la informática es utópico
porque no existe un sistema 100% seguro. Para que un sistema se pueda
definir como seguro debe tener estas cuatro características:
 Integridad: La información sólo puede ser modificada por quien está

autorizado y de manera controlada.
 Confidencialidad: La información sólo debe ser legible para los
autorizados.
 Disponibilidad: Debe estar disponible cuando se necesita.
 Irrefutabilidad (No repudio): El uso y/o modificación de la información por
parte de un usuario debe ser irrefutable, es decir, que el usuario no
puede negar dicha acción.
Dependiendo de las fuentes de amenaza, la seguridad puede dividirse en tres

partes: seguridad física, seguridad ambiental y seguridad lógica.
1.1.1 Seguridad Física
La Seguridad Física consiste en la aplicación de barreras físicas y

procedimientos de control, como medidas de prevención y contramedidas ante
amenazas a los recursos e información confidencial. Se refiere a los controles y
mecanismos de seguridad dentro y alrededor del Centro de Cómputo así como
los medios de acceso remoto al y desde el mismo; implementados para
proteger el hardware y medios de almacenamiento de datos.
Este tipo de seguridad está enfocado a cubrir las amenazas ocasionadas tanto
por el hombre como por la naturaleza del medio físico en que se encuentra
ubicado el centro.

autor.
Las principales amenazas que se prevén en la seguridad física son:
1. Desastres naturales, incendios accidentales tormentas e inundaciones.

2. Amenazas ocasionadas por el hombre.
3. Disturbios, sabotajes internos y externos deliberados.
Son ejemplos de mecanismos o acciones de seguridad física:
- Cerrar con llave el centro de cómputos.
- Tener extintores por eventuales incendios.
- Instalación de cámaras de seguridad.
- Guardia humana.
- Control permanente del sistema eléctrico, de ventilación, etc.
1.1.1.1 PROTECCIÓN DEL HARDWARE
El hardware es frecuentemente el elemento más caro de todo sistema

informático y por tanto las medidas encaminadas a asegurar su integridad son
una parte importante de la seguridad física de cualquier organización.
Son muchas las amenazas al hardware de una instalación informática; aquí se

van a presentar algunas de ellas, sus posibles efectos y algunas soluciones, si
no para evitar los problemas sí al menos para minimizar sus efectos.
Problemas a los que nos enfrentamos:
 Acceso físico
 Desastres naturales
 Alteraciones del entorno
1.1.1.1.1 ACCESO FÍSICO
Si alguien que desee atacar un sistema tiene acceso físico al mismo todo el
resto de medidas de seguridad implantadas se convierten en inútiles.
De hecho, muchos ataques son entonces triviales, como por ejemplo los de
denegación de servicio; si apagamos una máquina que proporciona un servicio
es evidente que nadie podrá utilizarlo.

autor.
Otros ataques se simplifican enormemente, por ejemplo, si deseamos obtener

datos podemos copiar los ficheros o robar directamente los discos que los
contienen.
Incluso dependiendo el grado de vulnerabilidad del sistema es posible tomar el

control total del mismo, por ejemplo reiniciándolo con un disco de recuperación
que nos permita cambiar las claves de los usuarios.
Este último tipo de ataque es un ejemplo claro de que la seguridad de todos los
equipos es importante, generalmente si se controla el PC de un usuario
autorizado de la red es mucho más sencillo atacar otros equipos de la misma.
Para evitar todo este tipo de problemas deberemos implantar mecanismos de

prevención (control de acceso a los recursos) y de detección (si un mecanismo
de prevención falla o no existe debemos al menos detectar los accesos no
autorizados cuanto antes).
Para la prevención hay soluciones para todos los gustos y de todos los precios:
 Analizadores de retina,
 Tarjetas inteligentes,
 Videocámaras,
 Vigilantes jurados, etc.
En muchos casos es suficiente con controlar el acceso a las salas y cerrar

siempre con llave los despachos o salas donde hay equipos informáticos y no
tener cableadas las tomas de red que estén accesibles.
Para la detección de accesos se emplean medios técnicos, como cámaras de

vigilancia de circuito cerrado o alarmas, aunque en muchos entornos es
suficiente con qué las personas que utilizan los sistemas se conozcan entre si y
sepan quien tiene y no tiene acceso a las distintas salas y equipos, de modo
que les resulte sencillo detectar a personas desconocidas o a personas
conocidas que se encuentran en sitios no adecuados.

autor.
1.1.1.1.2 DESASTRES NATURALES
Además de los posibles problemas causados por ataques realizados por

personas, es importante tener en cuenta que también los desastres naturales
pueden tener muy graves consecuencias, sobre todo si no los contemplamos
en nuestra política de seguridad y su implantación.
Algunos desastres naturales a tener en cuenta:
 Terremotos y vibraciones
 Tormentas eléctricas
 Inundaciones y humedad
 Incendios y humos
Hay varias cosas que se pueden hacer sin un desembolso elevado y que son
útiles para prevenir problemas causados por pequeñas vibraciones:
 No situar equipos en sitios altos para evitar caídas,

 No colocar elementos móviles sobre los equipos para evitar que caigan
sobre ellos,
 Separar los equipos de las ventanas para evitar que caigan por ellas o
qué objetos lanzados desde el exterior los dañen,
 Utilizar fijaciones para elementos críticos,
 Colocar los equipos sobre plataformas de goma para que esta absorba
las vibraciones,
Otro desastre natural importante son las tormentas, especialmente frecuentes

en verano, que generan subidas súbitas de tensión muy superiores a las que
pueda generar un problema en la red eléctrica. A parte de la protección
mediante el uso de pararrayos, la única solución a este tipo de problemas es
desconectar los equipos antes de una tormenta (qué por fortuna suelen ser
fácilmente predecibles).
En entornos normales es recomendable que haya un cierto grado de humedad,

ya que en si el ambiente es extremadamente seco hay mucha electricidad
estática. No obstante, tampoco interesa tener un nivel de humedad demasiado
elevado, ya que puede producirse condensación en los circuitos integrados que
den origen a un cortocircuito. En general no es necesario emplear ningún tipo
de aparato para controlar la humedad, pero no está de más disponer de
alarmas que nos avisen cuando haya niveles anómalos.
Otro tema distinto son las inundaciones, ya que casi cualquier medio
(máquinas, cintas, routers, etc.) que entre en contacto con el agua queda
automáticamente inutilizado, bien por el propio líquido o bien por los

autor.
cortocircuitos que genera en los sistemas electrónicos. Contra ellas podemos

instalar sistemas de detección que apaguen los sistemas si se detecta agua y
corten la corriente en cuanto estén apagados. Hay que indicar que los equipos
deben estar por encima del sistema de detección de agua, sino cuando se
intente parar ya estará mojado.
Por último mencionaremos el fuego y los humos, que en general provendrán

del incendio de equipos por sobrecarga eléctrica. Contra ellos emplearemos
sistemas de extinción, que aunque pueden dañar los equipos que apaguemos
(aunque actualmente son más o menos inocuos), nos evitarán males mayores.
Además del fuego, también el humo es perjudicial para los equipos (incluso el
del tabaco), al ser un abrasivo que ataca a todos los componentes, por lo que
es recomendable mantenerlo lo más alejado posible de los equipos.
Alteraciones del entorno
En nuestro entorno de trabajo hay factores que pueden sufrir variaciones que
afecten a nuestros sistemas que tendremos que conocer e intentar controlar.
Deberemos contemplar problemas que pueden afectar el régimen de

funcionamiento habitual de las máquinas como la alimentación eléctrica, el
ruido eléctrico producido por los equipos o los cambios bruscos de
temperatura.
1.1.1.2 CONTRATACIÓN DE PERSONAL
Contratamos a un consultor externo o a personal de mantenimiento para

realizar una serie de acciones sobre nuestro hardware. ¿Como nos
aseguramos que únicamente va a realizar las manipulaciones para las que le
hemos contratado y no otras? Es sencillo, lo único que debemos hacer es tener
un formulario que el personal externo deberá firmar y donde se especificará la
fecha de la manipulación, la manipulación exacta que se le permite hacer y si
es necesario también lo que no se le permite hacer. De esta forma aseguramos
que la persona que trabaje sobre nuestros sistemas no va a realizar más
manipulación que la contratada.
Siempre es conveniente que una persona del personal de administración está

presente cuando se realice cualquier mantenimiento o consultoría sobre
sistemas críticos de la empresa, pues así podrá vigilar que las acciones
realizadas sean las correctas e incluso podrá asesorar al consultor o personal
de mantenimiento si este tiene algún tipo de duda sobre el sistema.
Revisar el entrenamiento del personal y políticas que aseguren alcanzar el nivel

de conocimiento sobre seguridad para el caso de accidentes.
Controles y directivas adicionales pueden ser requeridas para ampliar la

seguridad de un arrea segura.

autor.
Esto incluye controles para el personal o terceras partes trabajando en el área

segura, así como actividades de terceras partes que tienen lugar aquí.
Los siguientes controles deberán ser considerados:
a) El personal deberá solo estar consciente de la existencia de, o actividades

dentro de un área segura, solo si tiene la necesidad de conocer.
b) El trabajo no supervisado en áreas seguras deberá ser evitado por razones
de seguridad y para prevenir oportunidades de actividades maliciosas.
c) Las áreas seguras desocupadas, deberán ser físicamente trabadas y
controladas periódicamente.
d) Al personal de servicios de terceras partes se deberá otorgar acceso
restringido a las áreas seguras o instalaciones de procesamiento de
información sensitiva, solo cuando sea requerida. Este acceso deberá ser
autorizado y monitoreado. Barreras y perímetros adicionales para controlar
el acceso físico puede ser necesarios entre áreas con diferentes
requerimientos de seguridad dentro del perímetro de seguridad.
e) No se debe permitir sin autorización el uso de equipos de fotografía, vídeo o
audio u otros equipos de grabación.
f) Instruir al usuario del área de servicios informáticos en particular y al resto
de la organización en general, sobre medidas de seguridad física, planes
de recuperación y de contingencias.
g) Incentivar al personal para cumplir las normas de seguridad.
h) Evaluar las políticas de entrenamiento de usuarios, para asegurar que
alcanzan el nivel de conocimiento sobre seguridad para el caso de
accidentes.
i) Evaluar que formación tiene el usuario en temas de informática, dado que
un bajo nivel de formación representa una fuente potencial de pérdidas de
datos y un alto nivel puede reducir la efectividad de las defensas más
sencillas.
j) Efectuar reuniones periódicas relativas a la seguridad para mantener un
nivel adecuado de interés, responsabilidad y cumplimiento.
k) Penalizar a los responsables por las violaciones a las normas vigentes
relacionadas a la seguridad.
l) Adoptar las normas sobre políticas de contraseñas emitidas.
Todo el personal de la organización está encargado de la seguridad física de

los recursos relacionados a los sistemas de información a los que tienen
acceso y los que están a su cargo.
El responsable de seguridad debe velar por el cumplimiento de las definiciones
de seguridad.
El responsable de las áreas de servicios informáticos de implementar las
medidas.
1.1.2 SEGURIDAD LÓGICA

autor.
La Seguridad Lógica consiste en la aplicación de barreras y procedimientos

que resguarden el acceso a los datos y sólo se permita acceder a ellos a las
personas autorizadas para hacerlo.
La seguridad lógica se refiere a la seguridad en el uso de software y los

sistemas, la protección de los datos, procesos y programas, así como la del
acceso ordenado y autorizado de los usuarios a la información. La seguridad
lógica involucra todas aquellas medidas establecidas por la administración,
usuarios y administradores de recursos de tecnología de información, para
minimizar los riesgos de seguridad asociados con sus operaciones cotidianas
llevadas a cabo utilizando la tecnología de información.
Los objetivos que se plantean serán:
1. Restringir el acceso a los programas y archivos.

2. Asegurar que los operadores puedan trabajar sin una supervisión
minuciosa y no puedan modificar los programas ni los archivos que no
correspondan.
3. Asegurar que se estén utilizados los datos, archivos y programas
correctos en y por el procedimiento correcto.
4. Que la información transmitida sea recibida sólo por el destinatario al
cual ha sido enviada y no a otro.
5. Que la información recibida sea la misma que ha sido transmitida.
6. Que existan sistemas alternativos secundarios de transmisión entre
diferentes puntos.
7. Que se disponga de pasos alternativos de emergencia para la
transmisión de información.
¿Cómo puedo protegerme de los hackers en forma rápida y sencilla?
1. Instale y mantenga actualizado un buen antivirus.

2. Instale y configure adecuadamente un buen firewall (cortafuegos).
3. Instalar todos los parches de seguridad para su sistema operativo.
4. Cerrar todos los servicios, excepto los imprescindibles. No dejar ninguno
que no se utilice 'por si acaso': pueden ser la puerta de entrada de un
intruso.
5. Si accede su ordenador en forma remota, reemplace telnet y FTP por
equivalentes seguros (no existe equivalente seguro de FTP, pero puede
utilizarse scp, uno de los componentes de SSH, cuando deban
trasferirse archivos importantes entre dos ordenadores). Si accede a su
ordenador por medio de telnet, cámbielo por SSH. El motivo es que los
datos, por telnet, van en texto plano (contraseñas incluidas), mientras
que en SSH (secure shell) todos los datos van encriptados.

autor.
1.1.2.1 IDENTIFICACIÒN Y AUTENTICACIÒN
Se denomina Identificación al momento en que el usuario se da a conocer en el

sistema; y Autenticación a la verificación que realiza el sistema sobre esta
identificación.
Existen cuatro tipos de técnicas que permiten realizar la autenticación de la

identidad del usuario, las cuales pueden ser utilizadas individualmente o
combinadas:
 Algo que solamente el individuo conoce: por ejemplo una clave secreta
de acceso o password, una clave criptográfica, un número de
identificación personal o PIN, etc.
 Algo que la persona posee: por ejemplo una tarjeta magnética.
 Algo que el individuo es y que lo identifica unívocamente: por ejemplo
las huellas digitales o la voz.
 Algo que el individuo es capaz de hacer: por ejemplo los patrones de
escritura.
Para cada una de estas técnicas vale mencionar sus ventajas y desventajas.
Se destaca que en los dos primeros casos enunciados, es frecuente que las
claves sean olvidadas o que las tarjetas o dispositivos se pierdan, mientras que
por otro lado, los controles de autenticación biométricos serían los más
apropiados y fáciles de administrar, resultando ser también, los más costosos
por lo dificultosos de su implementación eficiente.
Desde el punto de vista de la eficiencia, es conveniente que los usuarios sean

identificados y autenticados solamente una vez, pudiendo acceder a partir de
allí, a todas las aplicaciones y datos a los que su perfil les permita, tanto en
sistemas locales como en sistemas a los que deba acceder en forma remota.
Esto se denomina "single login" o sincronización de passwords.
Una de las posibles técnicas para implementar esta única identificación de

usuarios sería la utilización de un servidor de autenticaciones sobre el cual los
usuarios se identifican, y que se encarga luego de autenticar al usuario sobre
los restantes equipos a los que éste pueda acceder. Este servidor de
autenticaciones no debe ser necesariamente un equipo independiente y puede
tener sus funciones distribuidas tanto geográfica como lógicamente, de acuerdo
con los requerimientos de carga de tareas.
La Seguridad Informática se basa, en gran medida, en la efectiva

administración de los permisos de acceso a los recursos informáticos, basados
en la identificación, autenticación y autorización de accesos.
Esta administración abarca:
 Proceso de solicitud, establecimiento, manejo, seguimiento y cierre de

las cuentas de usuarios. Es necesario considerar que la solicitud de

autor.
habilitación de un permiso de acceso para un usuario determinado, debe

provenir de su superior y, de acuerdo con sus requerimientos
específicos de acceso, debe generarse el perfil en el sistema de
seguridad, en el sistema operativo o en la aplicación según corresponda.
 Además, la identificación de los usuarios debe definirse de acuerdo con
una norma homogénea para toda la organización.
 Revisiones periódicas sobre la administración de las cuentas y los
permisos de acceso establecidos. Las mismas deben encararse desde
el punto de vista del sistema operativo, y aplicación por aplicación,
pudiendo ser llevadas a cabo por personal de auditoría o por la gerencia
propietaria del sistema; siempre sobre la base de que cada usuario
disponga del mínimo permiso que requiera de acuerdo con sus
funciones.
 Las revisiones deben orientarse a verificar la adecuación de los
permisos de acceso de cada individuo de acuerdo con sus necesidades
operativas, la actividad de las cuentas de usuarios o la autorización de
cada habilitación de acceso. Para esto, deben analizarse las cuentas en
busca de períodos de inactividad o cualquier otro aspecto anormal que
permita una redefinición de la necesidad de acceso.
 Detección de actividades no autorizadas. Además de realizar auditorías
o efectuar el seguimiento de los registros de transacciones (pistas),
existen otras medidas que ayudan a detectar la ocurrencia de
actividades no autorizadas. Algunas de ellas se basan en evitar la
dependencia hacia personas determinadas, estableciendo la
obligatoriedad de tomar vacaciones o efectuando rotaciones periódicas a
las funciones asignadas a cada una.
 Nuevas consideraciones relacionadas con cambios en la asignación de
funciones del empleado. Para implementar la rotación de funciones, o en
caso de reasignar funciones por ausencias temporales de algunos
empleados, es necesario considerar la importancia de mantener
actualizados los permisos de acceso.
 Procedimientos a tener en cuenta en caso de desvinculaciones de
personal con la organización, llevadas a cabo en forma amistosa o no.
Los despidos del personal de sistemas presentan altos riesgos ya que
en general se trata de empleados con capacidad para modificar
aplicaciones o la configuración del sistema, dejando "bombas lógicas" o
destruyendo sistemas o recursos informáticos. No obstante, el personal
de otras áreas usuarias de los sistemas también puede causar daños,
por ejemplo, introduciendo información errónea a las aplicaciones
intencionalmente.
Para evitar estas situaciones, es recomendable anular los permisos de
acceso a las personas que se desvincularán de la organización, lo antes

autor.
posible. En caso de despido, el permiso de acceso debería anularse

previamente a la notificación de la persona sobre la situación.
1.1.2.2 MODALIDAD DE ACCESO
Se refiere al modo de acceso que se permite al usuario sobre los recursos y a

la información. Esta modalidad puede ser:
 Lectura: el usuario puede únicamente leer o visualizar la información

pero no puede alterarla. Debe considerarse que la información puede
ser copiada o impresa.
 Escritura: este tipo de acceso permite agregar datos, modificar o borrar
información.
 Ejecución: este acceso otorga al usuario el privilegio de ejecutar
programas.
 Borrado: permite al usuario eliminar recursos del sistema (como
programas, campos de datos o archivos). El borrado es considerado una
forma de modificación.
 Todas las anteriores.
Además existen otras modalidades de acceso especiales, que generalmente se

incluyen en los sistemas de aplicación:
 Creación: permite al usuario crear nuevos archivos, registros o campos.

 Búsqueda: permite listar los archivos de un directorio determinado.
1.1.2.3 CONTROL DE ACCESO INTERNO
Los Sistemas de Información deben disponer de los mecanismos necesarios

que permitan la validación de todos los usuarios en el momento de su
conexión. Por lo tanto, no se permitirá la existencia de sistemas de información
que no puedan identificar el usuario mediante un proceso lógico.
Se deben garantizar las siguientes reglas:
 Cada usuario, dispondrá de un identificador único que pueda ser

reconocido por los sistemas de información de la organización.
 A cada identificador de usuario corresponderá una, y solo una persona
física, y sólo esta persona, estará autorizada a utilizarlo.
 Todas aquellas operaciones realizadas por un usuario, serán siempre
imputadas al identificador utilizado que se hubiere identificado ante el
sistema de información, independientemente de la persona física que lo
haya realizado.

autor.
El procedimiento de generación de identificadores de usuario para los sistemas

de información de la organización deberá, al menos, cumplir, siempre que
técnicamente sea posible, con los siguientes requisitos mínimos:
 El código generado para este requisito deberá proveer de una

identificación inequívoca.
 El procedimiento de generación, garantizará la imposibilidad de
reasignar o reutilizar identificadores de usuario previamente utilizados.
 El procedimiento de generación garantizará la no duplicidad de los
mismos.
 El procedimiento, garantizará que se cumpla con las reglas de
identificación y nomenclatura, así como demás estándares aplicables.
 Se deberá establecer una nomenclatura de usuarios para el personal
externo a la organización, con el fin de identificar fácilmente si un
usuario es o no empleado de la organización.
 Será responsabilidad de los administradores, la implementación y
gestión del mismo.
Este procedimiento, con ayuda del sistema informático de administración de

usuarios, deberá exigir para generar un alta válida de usuario como mínimo, la
cumplimentación y registro de los siguientes datos:
 Nombre y apellidos del usuario

 Número de empleado o identificación válida
 Tipo de usuario (interno, externo, genérico)
 Identificador asignado
 Fecha de alta
 Detalle de los permisos concedidos.
Siempre que sea técnicamente posible, se debe automatizar el procedimiento

de bloqueo de identificadores de usuario, en los casos que se refieren a
continuación, y según la clasificación de los sistemas ó el perfil de las cuentas
afectadas.
Dichos procedimientos de bloqueo, se podrían ejecutar en los siguientes casos:
 Por caducidad de los identificadores.

 Por inactividad de los identificadores
 Por intento de acceso fallido, utilizando dicho identificador en más de
cinco intentos fallidos.
 Por baja temporal.
 Por baja definitiva (lo cual implicará la eliminación del identificador).

autor.
1.1.2.3.1 CONTRASEÑAS.
Una contraseña o clave (en inglés password) es una forma de autentificación

que utiliza información secreta para controlar el acceso hacia algún recurso. La
contraseña normalmente debe mantenerse en secreto ante aquellos a quien no
se les permite el acceso. Aquellos que desean acceder a la información se les
solicita una clave; si conocen o no conocen la contraseña, se concede o se
niega el acceso a la información según sea el caso.
Factores en la seguridad de un sistema de contraseñas
La seguridad de un sistema protegido por contraseña depende de varios

factores. El sistema debe, por supuesto, estar diseñado para sondear la
seguridad (Ver seguridad e inseguridad de computadoras). Aquí se presentan
algunos problemas sobre la administración de contraseñas que deben ser
considerados:
Posibilidad de que algún atacante pueda adivinar o inventar la contraseña
La posibilidad de que algún atacante pueda proporcionar una contraseña que

adivino es un factor clave al determinar la seguridad de un sistema. Algunos
sistemas imponen un límite de tiempo después de que un pequeño número de
intentos fallidos de proporcionar la clave se dan lugar. Al no tener otras
vulnerabilidades, estos sistemas pueden estar relativamente seguros con
simples contraseñas, mientras estas no sean fácilmente adivinadas, al no
asignar datos fácilmente conocidos como nombres de familiares o de
mascotas, el número de matrícula del automóvil o passwords sencillos como
"administrador" o "1234".
Otros sistemas almacenan o transmiten una pista de la contraseña de manera

que la pista puede ser fundamental para el acceso de algún atacante. Cuando
esto ocurre, (y es muy común), el atacante intentara suministrar contraseñas
frecuentemente en una alta proporción, quizás utilizando listas extensamente
conocidas de passwords comunes. También están sujetas a un alto grado de
vulnerabilidad aquellas contraseñas que se usan para generar claves
criptográficas, por ejemplo, cifrado de discos, o seguridad wi-fi, por lo tanto son
necesarias contraseñas más inaccesibles en estos casos.
Formas de almacenar contraseñas
Algunos sistemas almacenan contraseñas como archivos de texto. Si algún

atacante gana acceso al archivo que contienen las contraseñas, entonces
todas éstas se encontraran comprometidas. Si algunos usuarios emplean el
mismo password para diferentes cuentas, éstas estarán comprometidas de
igual manera. Los mejores sistemas almacenan las contraseñas en una forma
de protección criptográfica, así, el acceso a la contraseña será más difícil para
algún espía que haya ganado el acceso interno al sistema, aunque la
validación todavía sigue siendo posible.

autor.
Un esquema criptográfico común almacena solamente una forma burda de la

contraseña. Cuando un usuario teclea la contraseña en este tipo de sistema, se
corre a través de un algoritmo, y si el valor del valor proporcionado es igual al
almacenado en la base de datos de contraseñas, se permite el acceso al
usuario.
El valor burdo de la contraseña se crea al aplicar una función criptográfica para

secuenciar la consistencia del password y, normalmente, otro valor conocido
como salt. La salt previene que los atacantes construyan una lista de valores
para contraseñas comunes. Las funciones criptográficas más comunes son la
MD5 y SHA1. Una versión modificada de DES fue utilizada en los primeros
sistemas Unix.
Si la función que almacena el password está bien diseñada, no es

computacionalmente factible revertirla para encontrar el texto directamente. Sin
embargo, si algún atacante gana acceso a los valores (y muchos sistemas no
los protegen adecuadamente), puede usar gran cantidad de herramientas
disponibles para comparar los resultados cifrados de cada palabra dentro de
una colección, como un diccionario. Están ampliamente disponibles largas
listas de contraseñas posibles en muchos lenguajes y las herramientas
intentarán diferentes variaciones. Estas herramientas demuestran con su
existencia la relativa fortaleza de las diferentes opciones de contraseña en
contra de ataques. El uso derivado de una función para una clave puede
reducir este riesgo.
Desafortunadamente, existe un conflicto fundamental entre el uso de estas

funciones y la necesidad de un reto de autenticación; este último requiere que
ambas partes se pueden una a otra para conocer el secreto compartido (es
decir, la contraseña), y al hacer esto, el servidor necesita ser capaz de obtener
el secreto compartido en su forma almacenada. En los sistemas Unix al hacer
una autenticación remota, el secreto compartido se convierte en la forma burda
de la contraseña, no la contraseña en sí misma; si un atacante puede obtener
una copia de la forma burda de la contraseña, entonces será capaz de acceder
al sistema remotamente, incluso sin tener que determinar cuál fue la
contraseña original.
Método de retransmisión de la contraseña al usuario
Las contraseñas pueden ser vulnerables al espionaje mientras son transmitidas

a la máquina de autenticación o al usuario. Si la contraseña es llevada como
señal eléctrica sobre un cableado no asegurado entre el punto de acceso del
usuario y el sistema central que controla la base de datos de la contraseña,
está sujeta a espionaje por medio de métodos de conexiones externas en el
cableado. Si ésta es enviada por medio de Internet, cualquier persona capaz de
ver los paquetes de información que contienen la información de acceso puede
espiar el password con pocas posibilidades de detección. Los cable módem
pueden ser más vulnerables al espionaje que DSL los módems y las
conexiones telefónicas, el ethernet puede estar o no sujeto a espionaje,
dependiendo particularmente de la opción del hardware de la red y del

autor.
cableado. Algunas organizaciones han notado un incremento significativo de

las cuentas robadas después de que los usuarios se conecten por medio de
conexiones por cable.
El riesgo de intercepción de los password mandados por Internet pueden ser

reducidos con una capa de transporte de seguridad (TLS - Transport Layer
Security, previamente llamada SSL) que se integra en muchos navegadores de
Internet. La mayoría de los navegadores muestran un icono de un candado
cerrado cuando el TLS está en uso. Vea criptografía para otras maneras en las
que pasar la información puede ser más seguro.
Procedimientos para cambiar las contraseñas
Usualmente, un sistema debe proveer una manera de cambiar un password, ya

sea porque el usuario sospeche que el password actual ha (o ha sido)
descubierto, o como medida de precaución. Si el nuevo password es
introducido en el sistema de una manera no cifrada, la seguridad puede
haberse perdido incluso antes de que el nuevo password haya sido instalado
en la base de datos. Si el nuevo password fue revelado a un empleado de
confianza, se gana poco. Algunos web sites incluyen la opción de recordar el
password de un usuario de una manera no cifrada al mandárselo por e-mail.
Los Sistemas de Administración de Identidad, se utilizan cada vez más para

automatizar la emisión de reemplazos para contraseñas perdidas. La identidad
del usuario se verifica al realizar algunas preguntas y compararlas con las que
se tienen almacenadas. Preguntas típicas incluyen las siguientes: "¿Dónde
naciste?", "¿Cuál es tu película favorita?", "¿Cuál es el nombre de tu mascota?"
En muchos casos las respuestas a estas preguntas pueden ser adivinadas,
determinadas con un poco de investigación, u obtenidas a través de estafa con
ingeniería social. Mientras que muchos usuarios han sido advertidos para que
nunca revelen su password, muy pocos consideran el nombre de su película
favorita para requerir este tipo de seguridad.
Longevidad de una contraseña
El forzar a los usuarios a que cambien su contraseña frecuentemente (ya sea

semestralmente, mensualmente o en lapsos más frecuentes) asegura que una
contraseña válida en manos equivocadas sea eventualmente inútil. Muchos
sistemas operativos proveen esta opción, aunque ésta no se usa
universalmente. Los beneficios de seguridad son limitados debido a que los
atacantes frecuentemente sacan provecho de una contraseña tan pronto como
ésta es revelada. En muchos casos, particularmente con las cuentas de
administradores o cuentas "raíz", una vez que un cracker ha ganado acceso,
puede realizar alteraciones al sistema operativo que le permitirán accesos
futuros incluso si la contraseña inicial ya ha expirado.
Forzar cambios de password frecuentemente hace que los usuarios tiendan a

olvidar cual es el password actual, y por esto se da la consecuente tentación de
escribir las claves en lugares a la vista o que reutilicen passwords anteriores, lo

autor.
cual niega cualquier beneficio de seguridad. Al implementar este tipo de política

se requiere una cuidadosa consideración de los factores humanos.
Número de usuarios por password
En algunas ocasiones, una sola contraseña controla el acceso de un

dispositivo, por ejemplo, para la red de un router, o para un teléfono móvil. Sin
embargo, en el caso de un sistema informático, una contraseña se almacena
generalmente para cada nombre de usuario, de este modo haciendo que todos
los accesos puedan ser detectables (excepto, por supuesto, en el caso de
usuarios que comparten la misma contraseña).
En estos casos, un usuario potencial debe proporcionar un nombre y un

password. Si el usuario provee un password que coincide con el almacenado
para el nombre de usuario, entonces se le permite el acceso al sistema del
ordenador. Este también es el caso de los cajeros automáticos, con la
excepción de que el nombre de usuario es el número de cuenta almacenado en
la tarjeta del cliente, y que el PIN es normalmente muy corto (de 4 a 6 dígitos).
La asignación de contraseñas separadas a cada usuario de un sistema es

normalmente preferible que hacer que una sola contraseña sea compartida por
varios usuarios legítimos del sistema. Esto se da en parte porque la gente está
más dispuesta a revelar a otra persona (quién no puede estar autorizada) una
contraseña compartida que era exclusivamente para su propio uso.
Contraseñas individuales para cada usuario también son esenciales si los
usuarios son responsables por sus actividades, tales como en los casos de
transacciones financieras o consulta de expedientes médicos.
1.1.2.3.2 LISTA DE CONTROL DE ACCESO
Una Lista de Control de Acceso o ACL (del inglés, Access Control List) es un
concepto de seguridad informática usado para fomentar la separación de
privilegios. Es una forma de determinar los permisos de acceso apropiados a
un determinado objeto, dependiendo de ciertos aspectos del proceso que hace
el pedido.
Las ACLs permiten controlar el flujo del tráfico en equipos de redes, tales como
routers y switches. Su principal objetivo es filtrar tráfico, permitiendo o
denegando el tráfico de red de acuerdo a alguna condición.
Puntos, que se deben recordar
 Una ACL es una lista de una o más instrucciones.

 Se asigna una lista a una o más interfaces.
 Cada instrucción permite o rechaza tráfico, usando uno o más de los
siguientes criterios: el origen del tráfico; el destino del tráfico; el
protocolo usado.

autor.
 El router analiza cada paquete, comparándolo con la ACL

correspondiente.
 El router compara la ACL línea por línea. Si encuentra una coincidencia,
toma la acción correspondiente (aceptar o rechazar), y ya no revisa los
restantes renglones.
 Es por eso que hay que listar los comandos desde los casos más
específicos, hasta los más generales. ¡Las excepciones tienen que estar
antes de la regla general!
 Si no encuentra una coincidencia en ninguno de los renglones, rechaza
automáticamente el tráfico. Consideren que hay un "deny any" implícito,
al final de cada ACL.
 Cualquier línea agregada a una ACL se agrega al final. Para cualquier
otro tipo de modificación, se tiene que borrar toda la lista y escribirla de
nuevo. Se recomienda copiar al Bloc de Notas y editar allí.
 Las ACL estándar (1-99) sólo permiten controlar en base a la dirección
de origen.
 Las ACL extendidas (100-199) permiten controlar el tráfico en base a la
dirección de origen; la dirección de destino; y el protocolo utilizado.
 También podemos usar ACL nombradas en vez de usar un rango de
números. El darles un nombre facilita entender la configuración (y por lo
tanto, también facilita hacer correcciones). No trataré las listas
nombradas en este resumen.
 Si consideramos sólo el tráfico de tipo TCP/IP, para cada interface
puede haber sólo una ACL para tráfico entrante, y una ACL para tráfico
saliente.
 Sugerencia para el examen: Se deben conocer los rangos de números
de las ACL, incluso para protocolos que normalmente no nos interesan.
Colocación de las ACL
 Las ACL estándar se colocan cerca del destino del tráfico. Esto se debe
a sus limitaciones: no se puede distinguir el destino.
 Las ACL extendidas se colocan cerca del origen del tráfico, por
eficiencia - es decir, para evitar tráfico innecesario en el resto de la red.

autor.
1.1.2.3.3 CIFRADO
El cifrado consiste en transformar un texto en claro (inteligible por todos)

mediante un mecanismo de cifrado en un texto cifrado, gracias a una
información secreta o clave de cifrado.
La aplicación concreta del algoritmo de cifrado (también llamado cifra) se basa

en la existencia de una clave: información secreta que adapta el algoritmo de
cifrado para cada uso distinto.
Las dos técnicas más sencillas de cifrado, son la sustitución (que supone el
cambio de significado de los elementos básicos del mensaje -las letras, los
dígitos o los símbolos-) y la trasposición (que supone una reordenación de los
mismos); la gran mayoría de las cifras clásicas son combinaciones de estas
dos operaciones básicas. El descifrado es el proceso inverso que recupera el
texto plano a partir del texto cifrado y la clave.
Se distinguen dos métodos generales de cifrado:
Cifrado simétrico
Cuando se emplea la misma clave en las operaciones de cifrado y descifrado,

se dice que el criptosistema es simétrico o de clave secreta. Estos sistemas
son mucho más rápidos que los de clave pública, y resultan apropiados para el
cifrado de grandes volúmenes de datos.
Ésta es la opción utilizada para cifrar el cuerpo del mensaje.
Cifrado asimétrico
Por otro lado, cuando se utiliza una pareja de claves para separar los procesos
de cifrado y descifrado, se dice que el criptosistema es asimétrico o de clave
pública. Una clave, la privada, se mantiene secreta, mientras que la segunda
clave, la pública, es conocida por todos. De forma general, las claves públicas
se utilizan para cifrar y las privadas, para descifrar. El sistema posee la
propiedad de que a partir del conocimiento de la clave pública no es posible
determinar la clave privada ni descifrar el texto con ella cifrado. Los
criptosistemas de clave pública, aunque más lentos que los simétricos, resultan
adecuados para los servicios de autenticación, distribución de claves de sesión
y firmas digitales.
En general, el cifrado asimétrico se emplea para cifrar las claves de sesión

utilizadas para cifrar el documento, de modo que puedan ser transmitidas sin
peligro a través de la Red junto con el documento cifrado, para que en
recepción éste pueda ser descifrado. La clave de sesión se cifra con la clave
pública del destinatario del mensaje, que aparecerá normalmente en una libreta
de claves públicas.

autor.
El cifrado asimétrico se emplea también para firmar documentos y autenticar

entidades, firmas digitales.
1.1.2.4 CONTROL DE ACCESO EXTERNO
Para los sistemas de información consultados por el público en general, o los

utilizados para distribuir o recibir información computarizada (mediante, por
ejemplo, la distribución y recepción de formularios en soporte magnético, o la
consulta y recepción de información a través del correo electrónico) deben
tenerse en cuenta medidas especiales de seguridad, ya que se incrementa el
riesgo y se dificulta su administración.
Debe considerarse para estos casos de sistemas públicos, que un ataque

externo o interno puede acarrear un impacto negativo en la imagen de la
organización.
1.1.2.4.1DISPOSITIVOS DE CONTROL DE PUERTOS
Estos dispositivos autorizan el acceso a un puerto determinado y pueden estar

físicamente separados o incluidos en otro dispositivo de comunicaciones, como
por ejemplo un módem.
1.1.2.4.2 FIREWALLS
Un firewall es la combinación de diferentes componentes: dispositivos físicos

(hardware), programas (software) y actividades de administración, que, en
conjunto, permitirán aplicar una política de seguridad de una red, haciendo
efectiva una estrategia particular, para restringir el acceso entre ésta red y la
red pública a la cual esté conectada. El objetivo es protegerla de cualquier
acción hostil proveniente de un host externo1 a la red.
La función de un firewall es tal que todo el tráfico de entrada y salida de la red

privada debe pasar a través de él; el tráfico permitido por el firewall es
autorizado mediante su evaluación en base a la política de seguridad;
En general no existe una terminología completamente consistente para

arquitecturas de firewalls y sus componentes. Diferentes autores usan términos
de diferentes formas (o incluso conflictivas). Es apropiado referirse como
“firewall” al conjunto de estrategias y políticas de seguridad y como “sistema
firewall” a los elementos de hardware y software utilizados en la
implementación de esas políticas (hablar de políticas incluye implícitamente
una estrategia ya que se ve reflejada en la primera).
El enfoque de firewalls está basado en el concepto de permitir a los usuarios

locales el uso de todos los servicios de red internos a su red local y otros
servicios ofrecidos por la Internet, controlando, además, el acceso de los
usuarios externos a los recursos de la red local.
Funciones principales de un Firewall

autor.
Un firewall permite proteger una red privada contra cualquier acción hostil, al
limitar su exposición a una red no confiable2 aplicando mecanismos de control
para restringir el acceso desde y hacia ella al nivel definido en la política de
seguridad. Generalmente un firewall es utilizado para hacer de intermediario
entre una red de una organización e Internet u otra red no confiable.
Estos mecanismos de control actúan sobre los medios de comunicación entre

las dos redes, en particular, sobre la familia de protocolos utilizada para la
comunicación de sistemas remotos. La más comúnmente usada es TCP/IP ya
que dispone de amplios desarrollos de mecanismos estándares para su uso en
varios aspectos, incluyendo en seguridad.
La tarea de un firewall consiste en inspeccionar y controlar todo el tráfico entre

la red local e Internet. De esta forma se intenta detectar y rechazar todo el
tráfico potencialmente peligroso antes de que alcance otras partes de la red
interna, en algunos casos también se efectúan registros de tales actividades.
La determinación de qué es peligroso para la red local, es especificada en la
política de seguridad adoptada por el sitio.
La protección que provee un firewall es de diferentes tipos:
 Bloquea tráfico no deseado;

 Redirecciona tráfico de entrada a sistemas internos de más confianza;
 Oculta sistemas vulnerables, que pueden ser fácilmente asegurados, de
Internet;
 Puede registrar el tráfico desde y hacia la red privada;
 Puede ocultar información como ser nombres de sistemas, topología de
la red, tipos de dispositivos de red, e identificadores de usuarios
internos, de Internet;
 Puede proveer autenticación más robusta que las aplicaciones
estándares.
El firewall permite lograr esta protección aislando el segmento de la topología

correspondiente a la red local del resto de Internet, controlando todo el tráfico
que llega y sale de la misma.
Un firewall ayuda a manejar una variedad de aspectos en el punto de acceso a

la red pública manteniendo a los intrusos fuera, mientras permite a la red
interna concentrarse en ofrecer sus servicios. La idea básica es permitir a los
usuarios de una red protegida acceder a una red pública y al mismo tiempo
hacer disponibles a la red pública los servicios y productos de la compañía,
ofrecidos por esta red protegida.
El control de acceso que ofrece un firewall a un sistema de red permite que

algunos servidores puedan hacerse disponibles desde la red externa, mientras
otros puedan ser cerrados del acceso externo no deseado. Previniendo, de
esta forma, que los servicios inseguros o vulnerables sean explotados por
atacantes externos, es posible el uso de estos servicios con un riesgo reducido

autor.
de exposición ya que solo algunos protocolos seleccionados serán capaces de

pasar a través del firewall.
Estrategia de un firewall
Generalmente un firewall se encuentra situado en los puntos de entrada a la

red que protege. Este es un enfoque tradicional que surge a partir de la forma
más simple de conexión de una red privada a Internet: mediante un único
enlace. Aunque es posible utilizar otros enfoques para diferentes topologías de
interconexión. Pero en cada caso, cada conexión (punto de acceso) de la red
local a Internet estará equipada con un firewall
Ya que todo el tráfico debe pasar por él, puede considerarse como el foco de
todas las decisiones de seguridad. Concentrando las defensas en este punto,
es posible reducir la sobrecarga de seguridad del sistema interno ya que el
esfuerzo se limita a unos pocos dispositivos de toda la red (los que forman
parte del firewall).
De esta forma, un firewall centraliza el control de acceso. Los usuarios remotos

pueden acceder a la red interna de forma controlada y segura, pasando a
través del firewall.
Un firewall será transparente a los usuarios si no advierten su existencia para

poder acceder a la red. Los firewalls generalmente son configurados para ser
transparentes para los usuarios de la red interna, mientras que para los
usuarios de la red externa, no.
Fundamento de los firewalls
Alguien podría cuestionarse lo siguiente: si queremos proteger nuestra red

privada porque permitimos que una red de dominio público como Internet,
pueda acceder a ella? La respuesta es simple: porque queremos que nuestra
red acceda a ella. Muchas compañías dependen de Internet para publicitar sus
productos y servicios. Por lo que es necesario proteger los datos, transmisiones
y transacciones de cualquier incidente, ya sea, causado por actos maliciosos o
no intencionales.

autor.
En el caso de una red local directamente conectada a Internet sin un firewall, la

red entera está sujeta a ataques (ver Figura 21). La experiencia práctica
muestra que es muy difícil asegurar que todo host de la red esté protegido. Una
contraseña mal elegida puede comprometer la seguridad de toda la red.
Figura 21: Red Local sin firewall
Si la red local está protegida por un firewall, solo existe acceso directo para un
conjunto seleccionado de hosts y la zona de riesgo es reducida al firewall en sí
mismo o a un conjunto seleccionado de hosts de la red interna. (ver Figura 22)
Figura 22: Red Local con firewall.
Un firewall no es tanto una solución de seguridad sino una respuesta al

problema de ingeniería/administración: configurar un gran numero de sistemas
de hosts para una buena seguridad. Un firewall solo no asegurará una red.
Solo es parte de un área más amplia dedicada a proteger un sitio y efectuar
operaciones de red.
Limitaciones de los firewalls
En el enfoque tradicional comentado, un firewall no puede ofrecer protección

contra conexiones que no pasen a través de él, por lo que el firewall no puede
proteger la red contra atacantes internos.
Adicionalmente un firewall restringirá el acceso a ciertos dispositivos o

funcionalidades, si existen conexiones no protegidas que pueden comunicar los
sistemas de la red interna con la externa, es posible que algún usuario no
autorizado intente saltear el firewall para obtener acceso a esas
funcionalidades. Este tipo de amenaza solo puede ser tratada por
procedimientos de administración que estén incorporados a las políticas de
seguridad de las organizaciones y aseguren la protección o eliminación de
estas conexiones.
Obviamente un firewall no ofrecerá protección contra aquellas amenazas que

no hayan sido consideradas en el diseño de la estrategia y la política de
seguridad.

autor.
Ventajas y Desventajas de los firewalls
Obviamente, la principal ventaja de un firewall es que permite la interconexión

segura de una red privada con una red pública para aprovechar los beneficios
que ésta ofrece. Un firewall puede resultar en una reducción de costos si todo
el software de seguridad puede ser situado en un único sistema firewall, en
lugar de ser distribuido en cada servidor o máquina de la red privada.
Existen algunas desventajas de los firewalls: cosas de las cuales los firewalls
no puede proteger, como ser amenazas de puntos de acceso alternativos no
previstos (backdoors) y ataques originados en el interior de la red. El problema
de los firewalls es que limitan el acceso desde y hacia Internet, pero es un
precio que se debe pagar y es una cuestión de análisis de costo / beneficio al
desarrollar una implementación de seguridad.
Implementación
Para asegurar una red privada, se debe definir qué idea se tiene del “perímetro”
de red. En base a éstas y otras consideraciones se define una política de
seguridad y se establecen los mecanismos para aplicar la política y los
métodos que se van a emplear. Existe una variedad de mecanismos para la
implementación de firewalls que pueden incrementar en gran medida el nivel de
seguridad.
Antes de definir qué tipo de firewall se ajusta a las necesidades de la red, se

necesitará analizar la topología de la red para determinar si los componentes
tales como hubs, routers y cableado son apropiados para un modelo de firewall
especifico.
La red debe ser analizada en base a las diferentes capas del modelo de red.
Un firewall pasa a través de todas estas capas y actúa en aquellas
responsables del envió de paquetes, establecimiento y control de la conexión y
del procesamiento de las aplicaciones. Por eso, con un firewall podemos
controlar el flujo de información durante el establecimiento de sesiones,
inclusive determinando que operaciones serán o no permitidas.

autor.
1.1.2.4.2.1 SELECCIÓN DEL TIPO DE FIREWALL
Conceptualmente, se pueden distinguir dos tipos diferentes de firewalls:
* Nivel de red.
* Nivel de aplicación.
Cada uno de estos tipos tienen sus características propias, por lo que a
prioridad no se puede decir que un tipo sea mejor ni peor que el otro.
Los firewalls del nivel de red toman decisiones según la dirección de

procedencia, dirección de destino y puerto de cada uno de los paquetes IP. Un
simple router es un ejemplo de firewall de nivel de red, con la deficiencia de
que no pueden tomar decisiones sofisticadas. Los actuales corta fuegos de
nivel de red permiten mayor complejidad a la hora de decidir; mantienen
información interna acerca del estado de las conexiones que pasas por el, los
contenidos de algunos datos. Estos sistemas, como es lógico han de tener una
dirección IP válida. Los firewalls tienden a ser muy rápidos, y sobre todo,
transparentes al usuario.
Los firewalls de nivel de aplicación, generalmente son host con servidores

proxy, que no permiten el trafico directamente entre dos redes, sino que
realizan un seguimiento detallado del trafico que pasa por el. Los firewalls de
nivel de aplicación pueden ser usados como traductores de direcciones de red;
según pasa el tráfico de un lado a otro, enmascara la dirección de origen, lo
que dificulta observar la topología de la red el exterior. Estos sistemas
proporcionan informes de auditoría más detallados que los firewalls de nivel de
red; se usan cuando la política de control de acceso es más conservadora.

autor.
1.1.2.4.2.2 INTEGRACIÓN DE LAS POLÍTICAS DE SEGURIDAD AL

FIREWALL
Las políticas de accesos en un Firewalls se deben diseñar poniendo principal

atención en sus limitaciones y capacidades pero también pensando en las
amenazas y vulnerabilidades presentes en una red externa insegura.
Conocer los puntos a proteger es el primer paso a la hora de establecer

normas de seguridad. También es importante definir los usuarios contra los que
se debe proteger cada recurso, ya que las medidas diferirán notablemente en
función de esos usuarios.
Mediante la adopción de una política de seguridad es posible identificar las

amenazas de las cuales se intenta proteger los recursos de la red, los
mecanismos de seguridad a implementar y el nivel de protección requerido.
La política de seguridad misma responderá a la posición que asuma la

organización ante tales amenazas. Esta posición se traduce en la
determinación de una estrategia de seguridad que corresponde a un enfoque
en particular para la elección de las reglas y medidas a tomar para proteger la
red.
Ajustarse a una estrategia de seguridad es una decisión muy importante al

momento de construir una solución de seguridad firewall ya que será
determinante de la estructura resultante de dicha solución.
Existen algunas estrategias generales que responden a diferentes principios

asumidos para llevar a cabo la implementación de una solución de seguridad
Generalmente se plantean algunas preguntas fundamentales que debe

responder cualquier política de seguridad:
 ¿Qué se debe proteger?. Se deberían proteger todos los elementos de

la red interna (hardware, software, datos, etc.).
 ¿De quién protegerse?. De cualquier intento de acceso no autorizado
desde el exterior y contra ciertos ataques desde el interior que puedan
preverse y prevenir.
Sin embargo, podemos definir niveles de confianza, permitiendo selectivamente

el acceso de determinados usuarios externos a determinados servicios o
denegando cualquier tipo de acceso a otros.
 ¿Cómo protegerse?. Esta es la pregunta más difícil y está orientada a

establecer el nivel de monitorización, control y respuesta deseado en la
organización. Puede optarse por alguno de los siguientes paradigmas o
estrategias:

autor.
a. Paradigmas de seguridad
 Se permite cualquier servicio excepto aquellos
expresamente prohibidos.
 Se prohíbe cualquier servicio excepto aquellos
expresamente permitidos. La más recomendada y utilizada
aunque algunas veces suele acarrear problemas por
usuarios descontentos que no pueden acceder a tal cual
servicio.
b. Estrategias de seguridad
 Paranoica: se controla todo, no se permite nada.
 Prudente: se controla y se conoce todo lo que sucede.
 Permisiva: se controla pero se permite demasiado.
 Promiscua: no se controla (o se hace poco) y se permite
todo.
1.1.2.4.2.3 REVISIÓN Y ANÁLISIS DEL MERCADO
Hoy por hoy en el mercado existen infinidad de proveedores de aplicaciones de

firewalls, que están complementadas con los esfuerzos por elevar el nivel de
seguridad de los distintos sistemas operativos.
Estas aplicaciones de firewalls están disponibles para los distintos sistemas

operativos y si bien en líneas generales todos cumplen básicamente las
mismas funciones, cada proveedor tiene sus características particulares que se
van igualando de uno a otro con el correr del tiempo y el desarrollo de los
distintos releases.
Entre los productos más utilizados se encuentran Firewall-1, Pix y Raptor, de

las empresas Chekpoint, Cisco y HP respectivamente.
Indagando un poco en el mercado local se puede comprobar que el producto

de Cisco esta siendo muy utilizado, debido a su integración “nativo” en todas
aquellas organizaciones que están utilizando routers Cisco
Además de verificar las características particulares de cada uno se pueden

bajar de Internet versiones de evaluación para corroborar las distintas
facilidades como así también observar como se adapta a la organización donde
se implementará.

autor.
1.1.2.4.3 PROXIES
El término proxy hace referencia a un programa o dispositivo que realiza una

acción en representación de otro. Su finalidad más habitual es la de servidor
proxy, que sirve para permitir el acceso a Internet a todos los equipos de una
organización cuando sólo se puede disponer de un único equipo conectado,
esto es, una única dirección IP.
La palabra proxy se usa en muchas situaciones en donde tiene sentido un

intermediario.
 El uso más común es el de servidor proxy, que es un ordenador que

intercepta las conexiones de red que un cliente hace a un servidor de
destino.
o De ellos, el más famoso es el servidor proxy web (comúnmente
conocido solamente como «proxy»). Intercepta la navegación de
los clientes por páginas web, por varios motivos posibles:
seguridad, rendimiento, anonimato, etc.
o También existen proxies para otros protocolos, como el proxy de
FTP.
o El proxy ARP puede hacer de enrutador en una red, ya que hace
de intermediario entre ordenadores.
 Proxy (patrón de diseño) también es un patrón de diseño (programación)
con el mismo esquema que el proxy de red.
 Un componente hardware también puede actuar como intermediario
para otros (por ejemplo, un teclado USB al que se le pueden conectar
más dispositivos USB).
 Fuera de la informática, un proxy puede ser una persona autorizada para
actuar en representación de otra persona; por ejemplo, alguien a quien
le han delegado el derecho a voto.
 Una guerra proxy es una en la que las dos potencias usan a terceros
para el enfrentamiento directo.
Como se ve, proxy tiene un significado muy general, aunque siempre es

sinónimo de intermediario. También se puede traducir por delegado o
apoderado (el que tiene el poder).
Ventajas
En general (no sólo en informática), los proxies hacen posibles varias cosas
nuevas:
 Control: sólo el intermediario hace el trabajo real, por tanto se pueden

limitar y restringir los derechos de los usuarios, y dar permisos sólo al
proxy.

autor.
 Ahorro. Por tanto, sólo uno de los usuarios (el proxy) ha de estar
equipado para hacer el trabajo real.
 Velocidad. Si varios clientes van a pedir el mismo recurso, el proxy
puede hacer caché: guardar la respuesta de una petición para darla
directamente cuando otro usuario la pida. Así no tiene que volver a
contactar con el destino, y acaba más rápido.
 Filtrado. El proxy puede negarse a responder algunas peticiones si
detecta que están prohibidas.
 Modificación. Como intermediario que es, un proxy puede falsificar
información, o modificarla siguiendo un algoritmo.
 Anonimato. Si todos los usuarios se identifican como uno sólo, es difícil
que el recurso accedido pueda diferenciarlos. Pero esto puede ser malo,
por ejemplo cuando hay que hacer necesariamente la identificación.
Desventajas
En general (no sólo en informática), el uso de un intermediario puede provocar:
 Abuso. Al estar dispuesto a recibir peticiones de muchos usuarios y

responderlas, es posible que haga algún trabajo que no toque. Por tanto,
ha de controlar quién tiene acceso y quién no a sus servicios, cosa que
normalmente es muy difícil.
 Carga. Un proxy ha de hacer el trabajo de muchos usuarios.
 Intromisión. Es un paso más entre origen y destino, y algunos usuarios
pueden no querer pasar por el proxy. Y menos si hace de caché y
guarda copias de los datos.
 Incoherencia. Si hace de caché, es posible que se equivoque y dé una
respuesta antigua cuando hay una más reciente en el recurso de
destino. En realidad este problema no existe con los servidores proxy
actuales, ya que se conectan con el servidor remoto para comprobar que
la versión que tiene en cache sigue siendo la misma que la existente en
el servidor remoto.
 Irregularidad. El hecho de que el proxy represente a más de un usuario
da problemas en muchos escenarios, en concreto los que presuponen
una comunicación directa entre 1 emisor y 1 receptor (como TCP/IP).

autor.
Funcionamiento
Un proxy permite a otros equipos conectarse a una red de forma indirecta a

través de él. Cuando un equipo de la red desea acceder a una información o
recurso, es realmente el proxy quien realiza la comunicación y a continuación
traslada el resultado al equipo inicial. En unos casos esto se hace así porque
no es posible la comunicación directa y en otros casos porque el proxy añade
una funcionalidad adicional, como puede ser la de mantener los resultados
obtenidos (p.ej.: una página web) en una caché que permita acelerar sucesivas
consultas coincidentes. Con esta denominación general de proxy se agrupan
diversas técnicas.
1.1.2.4.4 INTEGRIDAD DEL SISTEMA
La integridad del sistema se refiere a la estabilidad y accesibilidad del servidor

que patrocina la fuente con el tiempo. Esto generalmente se refiere al trabajo
de los administradores del sistema.
Para garantizar la integridad del sistema, es necesario detectar intrusiones a un

nivel más alto. Éste es el objetivo de los verificadores de integridad como
Tripwire.
El software Tripwire, originalmente desarrollado por Eugene Spafford y Gene

Kim en 1992, se utiliza para garantizar la integridad del sistema a través de la
supervisión constante de los cambios en ciertos archivos y carpetas. Tripwire
lleva a cabo verificaciones de integridad y mantiene una base de datos
actualizada de las firmas. En intervalos regulares, inspecciona las siguientes
características del archivo para indicar si hubo alguna modificación y/o si está
en peligro:
 permisos,
 última fecha de modificación,
 fecha de acceso,
 tamaño del archivo,
 firma del archivo.
Las alertas se envían por correo electrónico, preferentemente a un servidor

remoto, para evitar que el hacker las elimine.
Los límites de la verificación de la integridad

autor.
Para obtener resultados fiables en la verificación de la integridad, se debe estar

seguro de la integridad del equipo durante su instalación. También es muy
difícil configurar este tipo de software, ya que el número de archivos que se
debe supervisar puede ser muy grande. Es más, cuando se instalan nuevas
aplicaciones, sus archivos se deben configurar para que puedan verificarse.
Además, este tipo de solución tiende a enviar un gran número de falsas

alarmas, especialmente cuando el sistema sólo está modificando archivos de
configuración o cuando se está actualizando.
Finalmente, si el equipo realmente está en peligro, el hacker puede intentar

poner en peligro la integridad del verificador antes de la siguiente actualización,
por lo que es muy importante almacenar las alertas en un equipo remoto o en
un soporte externo que no se pueda volver a grabar.
1.1.2.4.5 VPN (VIRTUAL PRIVATE NETWORKS)
La Red Privada Virtual (RPV), en inglés Virtual Private Network (VPN), es una
tecnología de red que permite una extensión de la red local sobre una red
pública o no controlada, como por ejemplo Internet.
Requerimientos básicos
 Identificación de usuario: las VPN deben verificar la identidad de los

usuarios y restringir su acceso a aquellos que no se encuentren
autorizados.
 Codificación de datos: los datos que se van a transmitir a través de la

red pública (Internet), antes deben ser cifrados, para que así no puedan
ser leídos. Esta tarea se realiza con algoritmos de cifrado como DES o
3DES que solo pueden ser leídos por el emisor y receptor.
 Administración de claves: las VPN deben actualizar las claves de cifrado

para los usuarios.
Tipos de VPN
Básicamente existen tres arquitecturas de conexión VPN:
VPN de acceso remoto
Es quizás el modelo más usado actualmente y consiste en usuarios o

proveedores que se conectan con la empresa desde sitios remotos (oficinas
comerciales, domicilios, hoteles, aviones preparados, etcétera) utilizando
Internet como vínculo de acceso. Una vez autentificados tienen un nivel de
acceso muy similar al que tienen en la red local de la empresa.

autor.
Muchas empresas han reemplazado con esta tecnología su infraestructura dial-

up (módems y líneas telefónicas).
VPN punto a punto
Este esquema se utiliza para conectar oficinas remotas con la sede central de
la organización. El servidor VPN, que posee un vínculo permanente a Internet,
acepta las conexiones vía Internet provenientes de los sitios y establece el
túnel VPN. Los servidores de las sucursales se conectan a Internet utilizando
los servicios de su proveedor local de Internet, típicamente mediante
conexiones de banda ancha. Esto permite eliminar los costosos vínculos punto
a punto tradicionales, sobre todo en las comunicaciones internacionales. Es
más común el siguiente punto, también llamado tecnología de túnel o tunneling.
TUNNELING
Internet se construyó desde un principio como un medio inseguro. Muchos de

los protocolos utilizados hoy en día para transferir datos de una máquina a otra
a través de la red carecen de algún tipo de cifrado o medio de seguridad que
dichos datos. Este tipo de técnica requiere de forma imprescindible tener una
cuenta de acceso seguro en la máquina con la que se quiere comunicar los
datos.
VPN interna VLAN
Este esquema es el menos difundido pero uno de los más poderosos para
utilizar dentro de la empresa. Es una variante del tipo "acceso remoto" pero, en
vez de utilizar Internet como medio de conexión, emplea la misma red de área
local (LAN) de la empresa. Sirve para aislar zonas y servicios de la red interna.
Esta capacidad lo hace muy conveniente para mejorar las prestaciones de
seguridad de las redes inalámbricas (WiFi).
Un ejemplo clásico es un servidor con información sensible, como las nóminas

de sueldos, ubicado detrás de un equipo VPN, el cual provee autenticación
adicional más el agregado del cifrado, haciendo posible que sólo el personal de
recursos humanos habilitado pueda acceder a la información.
Ventajas
 Integridad, confidencialidad y seguridad de datos.
 Las VPN reducen los costes y son sencillas de usar.
 Facilita la comunicación entre dos usuarios en lugares distantes.

autor.
1.1.2.4.6 DMZ (ZONA DESMILITARIZADA)
Los servicios accesibles externamente deberían residir en lo que en la industria

de seguridad se conoce como una zona desmilitarizada (DMZ), un segmento
lógico de red donde el tráfico entrante desde Internet sólo podrá acceder esos
servicios y no tiene permitido acceder la red interna. Esto es efectivo en que,
aún cuando un usuario malicioso explota una máquina en el DMZ, el resto de la
red interna queda detrás de los cortafuegos en un segmento separado.
Cuando algunas máquinas de la red interna deben ser accesibles desde una
red externa (servidores web, servidores de correo electrónico, servidores FTP),
a veces es necesario crear una nueva interfaz hacia una red separada a la que
se pueda acceder tanto desde la red interna como por vía externa sin correr el
riesgo de comprometer la seguridad de la compañía. El término "zona
desmilitarizada" o DMZ hace referencia a esta zona aislada que posee
aplicaciones disponibles para el público. La DMZ actúa como una "zona de
búfer" entre la red que necesita protección y la red hostil.
Los servidores en la DMZ se denominan "anfitriones bastión" ya que actúan

como un puesto de avanzada en la red de la compañía.
Por lo general, la política de seguridad para la DMZ es la siguiente:
 El tráfico de la red externa a la DMZ está autorizado
 El tráfico de la red externa a la red interna está prohibido
 El tráfico de la red interna a la DMZ está autorizado
 El tráfico de la red interna a la red externa está autorizado
 El tráfico de la DMZ a la red interna está prohibido
 El tráfico de la DMZ a la red externa está denegado
De esta manera, la DMZ posee un nivel de seguridad intermedio, el cual no es

lo suficientemente alto para almacenar datos imprescindibles de la compañía.
Debe observarse que es posible instalar las DMZ en forma interna para aislar la
red interna con niveles de protección variados y así evitar intrusiones internas.

autor.
1.1.2.4.7 HERRAMIENTAS DE SEGURIDAD
La herramienta debe proporcionar mecanismos para controlar el acceso y las

modificaciones a los que contiene. La herramienta debe, al menos, mantener
contraseñas y permisos de acceso en distintos niveles para cada usuario.
También debe facilitar la realización automática de copias de seguridad y
recuperaciones de las mismas, así como el almacenamiento de grupos de
información determinados, por ejemplo, por proyecto o aplicaciones.
Un conjunto de métodos y herramientas destinados a proteger la información y

por ende, los sistemas informáticos ante cualquier amenaza.
1.2 SEGURIDAD EN REDES DE DATOS
En la actualidad la información es un activo importante en las organizaciones, y

por lo tanto, cualquier organización debiera darle la atención y protección
necesaria, ya que en ello se juega el prestigio y la confianza de sus usuarios.
La información tiene tres características que deben protegerse:
•Confidencialidad
•Integridad
•Disponibilidad
Confidencialidad
Es una característica muy delicada en todo tipo de organización, ya que hay

datos que sólo conciernen a algunos, y que pueden ser utilizados de forma
indebida por otros, o simplemente pueden afectar el prestigio de la
organización si se sabe que no se les da el cuidado adecuado. Hay información
que necesita ser confidencial y otra que no, pero en general obtener la
información por una vía ilícita delata problemas en la organización, y muy
graves si la información es confidencial. Una fuente de información importante
para la Escuela es la Intranet, la cual almacena mucha información confidencial
o restringida a grupos de usuarios específicos, por esta razón es manejada con
un nivel de seguridad alto. Los computadores personales de usuarios de la
Escuela muchas veces mantienen información importante y confidencial, por lo
tanto se deberían proteger casi de la misma forma que la Intranet.

autor.
Integridad
Es una característica que nos da la seguridad que la información no ha sido

alterada ni manipulada, y por lo tanto es fidedigna y utilizable. Este es uno de
los puntos débiles del correo electrónico, y es un problema de diseño el cual se
logra solucionar utilizando firma digital.
Disponibilidad
Es una característica que apunta más a factores externos, ya que se refiere al

hecho de poder acceder a la información la mayor cantidad de tiempo posible o
todas las veces que se requiera, lo cual se logra con tecnologías de redes y de
procesamiento (servidores). La información no es útil si no se puede acceder
cuando es necesaria, y los problemas más comunes que causan situaciones de
no disponibilidad son los problemas de red, como lo suele ser un enlace
colapsado. Esto último afecta gravemente a la Escuela ya que no sólo la
comunidad universitaria no puede acceder a servicios externos, sino que
también usuarios externos no puedan acceder a servicios provistos por la
Escuela.
En general si la información de la organización no importa que sea destruida,

modificada o que no este disponible, entonces no tiene ninguna de las
características nombradas y por lo tanto sólo ocupa espacio en disco y no tiene
ninguna utilidad.
Tanto como la información de la organización se debe cuidar adecuadamente,

el equipamiento de red, los servidores, el ancho de banda, etc. son recursos
que las organizaciones también deben cuidar y proteger, ya que en ellos se
levanta la plataforma informática utilizada a diario. Estos recursos además de
ser costosos, son una parte medular de toda organización.

autor.
1.2.1 AMENAZAS Y ATAQUES A REDES
Un ataque de red se produce cuando un atacante utiliza vulnerabilidades y

fallos en la seguridad a diferentes niveles (TCP, IPv4, WiFi, DNS,
aplicaciones…) para intentar comprometer la seguridad de una red.
Debido a su complejidad, se recolectan datos que le dan al atacante las pautas

para tener éxito, las más habituales son:
 Identificación del sistema operativo: Los ataques difieren mucho según

el sistema operativo que esté instalado en el ordenador
 Escaneo de protocolos, puertos y servicios:
 Los servicios: Son los programas que carga el propio sistema operativo
para poder funcionar, servicio de impresión, actualizaciones
automáticas, Messenger…
o Los puertos son las vías que utiliza el ordenador para

comunicarse, 21 es el del FTP, 995 el del correo seguro…
o Protocolos: Son los diferentes lenguajes establecidos que utiliza

el ordenador para comunicarse De este modo si se escanea todo
esto el atacante se hace una idea de cómo poder realizar el
ataque.
 Escaneo de vulnerabilidades.
o Del sistema operativo.
o De los programas instalados.
 Existen multitud de tipos de ataques de red aunque existen cuatro tipos

básicos:
o Ataques de denegación de servicio.
o Ataques contra la autentificación.
o Ataques de modificación y daño.
o Ataques de puerta trasera o backdoor.
Se entiende por amenaza una condición del entorno del sistema de información
(persona, máquina, suceso o idea) que, dada una oportunidad, podría dar lugar
a que se produjese una violación de la seguridad (confidencialidad, integridad,
disponibilidad o uso legítimo).

autor.
La política de seguridad y el análisis de riesgos habrán identificado las

amenazas que han de ser contrarrestadas, dependiendo del diseñador del
sistema de seguridad especificar los servicios y mecanismos de seguridad
necesarios.
Las amenazas a la seguridad en una red pueden caracterizarse modelando el

sistema como un flujo de información desde una fuente, como por ejemplo un
fichero o una región de la memoria principal, a un destino, como por ejemplo
otro fichero o un usuario. Un ataque no es más que la realización de una
amenaza.
Las cuatro categorías generales de amenazas o ataques son las siguientes:
 Interrupción: un recurso del sistema es destruido o se vuelve no

disponible. Este es un ataque contra la disponibilidad. Ejemplos de este
ataque son la destrucción de un elemento hardware, como un disco
duro, cortar una línea de comunicación o deshabilitar el sistema de
gestión de ficheros.
 Intercepción: una entidad no autorizada consigue acceso a un recurso.

Este es un ataque contra la confidencialidad. La entidad no autorizada
podría ser una persona, un programa o un ordenador. Ejemplos de este
ataque son pinchar una línea para hacerse con datos que circulen por la
red y la copia ilícita de ficheros o programas (intercepción de datos), o
bien la lectura de las cabeceras de paquetes para desvelar la identidad
de uno o más de los usuarios implicados en la comunicación observada
ilegalmente (intercepción de identidad).
 Modificación: una entidad no autorizada no sólo consigue acceder a un

recurso, sino que es capaz de manipularlo. Este es un ataque contra la
integridad. Ejemplos de este ataque son el cambio de valores en un
archivo de datos, alterar un programa para que funcione de forma
diferente y modificar el contenido de mensajes que están siendo
transferidos por la red.
 Fabricación: una entidad no autorizada inserta objetos falsificados en el

sistema. Este es un ataque contra la autenticidad. Ejemplos de este
ataque son la inserción de mensajes espurios en una red o añadir
registros a un archivo.
Estos ataques se pueden así mismo clasificar de forma útil en términos de

ataques pasivos y ataques activos.

autor.
Ataques pasivos
En los ataques pasivos el atacante no altera la comunicación, sino que

únicamente la escucha o monitoriza, para obtener información que está siendo
transmitida. Sus objetivos son la intercepción de datos y el análisis de tráfico,
una técnica más sutil para obtener información de la comunicación, que puede
consistir en:
 Obtención del origen y destinatario de la comunicación, leyendo las

cabeceras de los paquetes monitorizados.
 Control del volumen de tráfico intercambiado entre las entidades

monitorizadas, obteniendo así información acerca de actividad o
inactividad inusuales.
 Control de las horas habituales de intercambio de datos entre las

entidades de la comunicación, para extraer información acerca de los
períodos de actividad.
Los ataques pasivos son muy difíciles de detectar, ya que no provocan ninguna
alteración de los datos. Sin embargo, es posible evitar su éxito mediante el
cifrado de la información y otros mecanismos que se verán más adelante.
Ataques activos
Estos ataques implican algún tipo de modificación del flujo de datos transmitido
o la creación de un falso flujo de datos, pudiendo subdividirse en cuatro
categorías:
 Suplantación de identidad: el intruso se hace pasar por una entidad

diferente. Normalmente incluye alguna de las otras formas de ataque
activo. Por ejemplo, secuencias de autenticación pueden ser capturadas
y repetidas, permitiendo a una entidad no autorizada acceder a una serie
de recursos privilegiados suplantando a la entidad que posee esos
privilegios, como al robar la contraseña de acceso a una cuenta.
 Reactuación: uno o varios mensajes legítimos son capturados y

repetidos para producir un efecto no deseado, como por ejemplo
ingresar dinero repetidas veces en una cuenta dada.
 Modificación de mensajes: una porción del mensaje legítimo es alterada,

o los mensajes son retardados o reordenados, para producir un efecto
no autorizado. Por ejemplo, el mensaje “Ingresa un millón de pesetas en
la cuenta A” podría ser modificado para decir “Ingresa un millón de
pesetas en la cuenta B”.

autor.
 Degradación fraudulenta del servicio: impide o inhibe el uso normal o la

gestión de recursos informáticos y de comunicaciones. Por ejemplo, el
intruso podría suprimir todos los mensajes dirigidos a una determinada
entidad o se podría interrumpir el servicio de una red inundándola con
mensajes espurios. Entre estos ataques se encuentran los de
denegación de servicio, consistentes en paralizar temporalmente el
servicio de un servidor de correo, Web, FTP, etc.
1.2.2 ELEMENTOS BÁSICOS DE PROTECCIÓN
Hoy en día la seguridad no es solo para grandes corporaciones; ni siquiera

podemos escudarnos en que no existe presupuesto para estar bien seguros
Las compañías que quieren abrirse al mundo, independientemente de su

actividad y tamaño. La competitividad de la empresa pasa por la modernización
de todos los aspectos del negocio, incluyendo sistemas de gestión, recursos
humanos y, en general, todas las áreas de actividad. Un aspecto clave de la
modernización lo constituye la tecnología, herramientas que automatizan los
procesos de negocio y que, hasta hace muy poco, sólo grandes empresas
podían acceder a ellas. Ahora estamos en una nueva etapa, todo el mundo
tiene la posibilidad de acceder a una conexión y expandir su negocio a un
escaparate virtualmente infinito. Con ello, incluso la pequeña y mediana
empresa consigue obtener una importante base para el desarrollo de su
negocio: que sus pro-veedores, clientes, y trabajadores estén interconectados
entre sí a través de la banda ancha. Y para que este nuevo contexto de
conectividad un verdadero beneficio, la empresa debe dotarse de un sistema
de seguridad que no quede cubierto únicamente con sistemas de protección de
puesto de trabajo, sino que es necesaria una seguridad perimetral avanzada.
Conforme evoluciona la pequeña y mediana empresa, se crean dispositivos
que se adecuan a sus necesidades, ya sea por prestaciones, precio, sencillez
de uso, etc., es decir, dispositivos que verdaderamente cubran estas
necesidades que la pyme lleva pidiendo mucho tiempo. A día de hoy, la
conectividad se vende por un lado y la seguridad por otro. Sin embargo, la
demanda real es la de adquirir seguridad y comunicaciones en un solo
dispositivo, seguridad perimetral, seguridad como habilitador de la
conectividad, que funciona de
Garantizar el acceso y la integridad de la información ha pasado a ser una

prioridad en forma independiente y ha de cubrir todas las áreas. La seguridad
perimetral se está convirtiendo en una característica obligatoria de todos los
proyectos de infraestructura de comunicaciones y conectividad de cualquier
compañía. Este tipo de seguridad se basa en la protección de todo lo que
rodea nuestra red frente a aquellos puntos que pueden estar en contacto con

autor.
otras redes que no son las nuestras. La seguridad perimetral es una

seguridad«excluyente», es decir, aquel tipo de seguridad que mantiene a «los
malos»fuera. Por eso, sus principales elementos son Firewall (cortafuegos) o
Control de Contenidos / Anti-Spam. Por eso, las soluciones perimetrales son un
primer paso, pero sin duda, una buena seguridad siempre tiene que ser
multidimensional y, sobre todo, debe de ser integrada para crear el máximo
nivel de seguridad y a la vez no aumentar la carga de administración. Una
empresa necesita seguridad perimetral por que es quizás uno de los vectores
menos controlados y de gran importancia. Al final, cualquier empresa que esté
conectada a Internet es un posible objetivo para ataques de red. La seguridad
perimetral nos permite aumentar nuestro umbral de seguridad de manera
significativa. De este modo, el futuro de la pyme pasa por dispositivos de
seguridad perimetral que lleven integrados los sistemas de seguridad críticos
identificados en cada negocio, con ello los costes y la dificultad asociada a la
instalación y puesta en marcha de éstos dispositivos se mantendrán limitados
al uso real que se quiera dar al dispositivo. Hoy en día los elementos básicos
de seguridad en un sistema para la pequeña y mediana empresa incluyen unos
buenos cortafuegos y un antivirus de red como complemento al antivirus del
puesto de trabajo. Además, según el tipo de negocio y el control del uso de
recursos que se quiera establecer, son ríos al antivirus de escritorio y servidor:
Firewall, VPN, Anti-virus de red y filtrado de contenidos. En algunos casos es
incluso posible integrar el módulo de comunicación es para facilitar la
instalación y reducir costes asociados al mantenimiento de la solución.
Contando con dichos equipos el integrador deberá ser capaz de ofertar

servicios de seguridad basados en las comunicaciones de banda ancha a sus
clientes, siendo ésta una forma perfecta de fidelización. Por tanto, siempre es
recomendable una buena seguridad perimetral pero también es aconsejable la
implementación de soluciones más enfocadas a la red interna, tales como
dispositivos para la protección de los puestos de trabajo. El fin dela seguridad,
cualquiera que sea su denominación, es la de bloquear el mayor número
posible de ataques que vienen de fuera. En definitiva, para que una seguridad
perimetral sea eficiente hay que saber también qué es lo que se está
protegiendo y así poder establecer las reglas más adecuadas en cada caso.
Recomendables un filtrado de contenidos web y un servidor VPN. Un extra muy
recomendable en éste tipo de dispositivos es que dispongan del módulo de
comunicaciones WAN integrado, de forma que tanto la configuración inicial
como el mantenimiento posterior del sistema de seguridad perimetral, se
reduzcan a un solo dispositivo. Es importante que estos sistemas sean capaces
de evolucionar según lo hagan las amenazas en Internet, ya sea mediante
actualizaciones de software y/o hardware como de integración de nuevos
servicios de seguridad. Muestra de ello es la necesidad, cada día más

autor.
apremiante, de disponer de un buen sistema Antispam, que bloquee deforma

efectiva el correo basura.
1.3 SEGURIDAD EN REDES INALÁMBRICAS
Elementos de la seguridad inalámbrica
Para proteger una red inalámbrica, hay tres acciones que pueden ayudar:
 Proteger los datos durante su transmisión mediante el cifrado: en su

sentido básico, el cifrado es como un código secreto. Traduce los datos
a un lenguaje indescifrable que sólo el destinatario indicado comprende.
El cifrado requiere que tanto el remitente como el destinatario tengan
una clave para decodificar los datos transmitidos. El cifrado más seguro
utiliza claves muy complicadas, o algoritmos, que cambian con
regularidad para proteger los datos.
 Desalentar a los usuarios no autorizados mediante autenticación: los
nombres de usuario y las contraseñas son la base de la autenticación,
pero otras herramientas pueden hacer que la autenticación sea más
segura y confiable. La mejor autenticación es la que se realiza por
usuario, por autenticación mutua entre el usuario y la fuente de
autenticación.
 Impedir conexiones no oficiales mediante la eliminación de puntos de
acceso dudosos: un empleado bienintencionado que goza de conexión
inalámbrica en su hogar podría comprar un punto de acceso barato y
conectarlo al zócalo de red sin pedir permiso. A este punto de acceso se
le denomina dudoso, y la mayoría de estos puntos de acceso los
instalan empleados, no intrusos maliciosos. Buscar la existencia de
puntos de acceso dudosos no es difícil. Existen herramientas que
pueden ayudar, y la comprobación puede hacerse con una computadora
portátil y con software en un pequeño edificio, o utilizando un equipo de
administración que recopila datos de los puntos de acceso.
Soluciones de seguridad inalámbrica
Existen tres soluciones disponibles para proteger el cifrado y la autenticación

de LAN inalámbrica: Acceso protegido Wi-Fi (WPA), Acceso protegido Wi-Fi 2
(WPA2) y conexión de redes privadas virtuales (VPN). La solución que elija es
específica del tipo de LAN inalámbrica a la que está accediendo y del nivel de
cifrado de datos necesario:
 WPA y WPA2: estas certificaciones de seguridad basadas en normas de

la Wi-Fi Alliance para LAN de grandes empresas, empresas en
crecimiento y para la pequeña oficina u oficinas instaladas en el hogar

autor.
proporcionan autenticación mutua para verificar a usuarios individuales y

cifrado avanzado. WPA proporciona cifrado de clase empresarial y
WPA2, la siguiente generación de seguridad Wi-Fi, admite el cifrado de
clase gubernamental. "Recomendamos WPA o WPA2 para las
implementaciones de LAN inalámbrica en grandes empresas y
empresas en crecimiento", comenta Jeremy Stieglitz, gerente de
productos de la unidad comercial de Conexión de Redes Inalámbricas
de Cisco. "WPA y WPA2 ofrecen control de acceso seguro, cifrado de
datos robusto y protegen la red de los ataques pasivos y activos".
 VPN: VPN brinda seguridad eficaz para los usuarios que acceden a la
red por vía inalámbrica mientras están de viaje o alejados de sus
oficinas. Con VPN, los usuarios crean un "túnel" seguro entre dos o más
puntos de una red mediante el cifrado, incluso si los datos cifrados se
transmiten a través de redes no seguras como la red de uso público
Internet. Los empleados que trabajan desde casa con conexiones de
acceso telefónico o de banda ancha también pueden usar VPN.
Política de seguridad inalámbrica
En algunos casos, puede haber parámetros de seguridad diferentes para

usuarios o grupos de usuarios diferentes de la red. Estos parámetros de
seguridad pueden establecerse utilizando una LAN virtual (VLAN) en el punto
de acceso. Por ejemplo, puede configurar políticas de seguridad diferentes
para grupos de usuarios diferenciados dentro de la compañía, como por
ejemplo, los de finanzas, jurídico, manufactura o recursos humanos. También
puede configurar políticas de seguridad independientes para clientes, partners
o visitantes que acceden a la LAN inalámbrica. Esto le permite utilizar un solo
punto de acceso de forma económica para ofrecer soporte a varios grupos de
usuarios con parámetros y requisitos de seguridad diferentes, mientras la red
se mantiene la segura y protegida.
La seguridad de LAN inalámbrica, aun cuando está integrada en la

administración general de la red, sólo es efectiva cuando está activada y se
utiliza de forma uniforme en toda la LAN inalámbrica. Por este motivo, las
políticas del usuario son también una parte importante de las buenas prácticas
de seguridad. El desafío es elaborar una política de usuarios de LAN
inalámbrica que sea lo suficientemente sencilla como para que la gente la
cumpla, pero además, lo suficientemente segura como para proteger la red.
Actualmente, ese equilibrio es más fácil de lograr porque WPA y WPA2 se
incorporan a los puntos de acceso Wi-Fi y los dispositivos de cliente
certificados.
La política de seguridad de LAN inalámbrica debería también cubrir cuándo y

cómo pueden los empleados utilizar los puntos activos públicos, el uso de
dispositivos personales en la red inalámbrica de la compañía, la prohibición de
dispositivos de origen desconocido y una política de contraseñas robusta.

autor.
1.2.3 INTRODUCCIÓN A LA CRIPTOGRAFÍA
La palabra "Criptografía" viene del griego "Kryptos", escondido, y "Graphos",

escritura. Es decir, cuando hablamos de Criptografía estamos hablando de
"Escritura escondida". Se trata de escribir algo de manera que otra persona
que quiera leer lo que hemos escrito no pueda entenderlo a no ser que
conozca cómo se ha escondido.
Los sistemas criptográficos están teniendo un gran auge últimamente ante el

miedo de que una transmisión en Internet pueda ser interceptada y algún
desaprensivo pueda enterarse de alguna información que no debería. Y no
estamos hablando de un correo electrónico en el que organizamos las
vacaciones con los amigos, nos referimos a, por ejemplo, una transacción
comercial de cientos de miles de euros o una información sobre determinados
temas empresariales que podría hacer las delicias de un competidor.
Desde la Antigüedad todas las civilizaciones han desarrollado sistemas de

criptografía para que las comunicaciones no fueran públicas. Incluso hoy en día
muchas personas utilizan lenguajes específicos para que solamente los
iniciados en ellos puedan comprender la conversación como, por ejemplo, las
jergas utilizadas en ambientes carcelarios. A veces los informáticos también
parece que hablemos en clave...
Hay muchos sistemas para "camuflar" lo que escribimos. Quizá el más fácil sea
la "trasposición" del texto. Consiste en cambiar cada letra del texto por otra
distinta. Por ejemplo, si escribo "boujwjsvt", solamente las personas que
supieran que he puesto la letra siguiente del alfabeto para escribir la palabra
"antivirus" podrían entender la palabra.
Evidentemente los sistemas criptográficos actuales van mucho más allá de un

sistema como el de transposición, fácil de descubrir en unos cuantos intentos.
Incluso si en lugar de trasponer un determinado número de espacios elegimos
aleatoriamente las letras a sustituir, también bastaría con un ordenador que
tuviera un simple corrector ortográfico para, en unos cuantos intentos, descubrir
el significado de un mensaje.

autor.
1.2.4 SEGURIDAD DE LA RED A NIVEL:
1.2.4.1 APLICACIÓN
La capa de aplicación es la séptima en el modelo OSI y es la que ofrece a las

aplicaciones (de usuario o no) la posibilidad de acceder a los servicios de las
demás capas y define los protocolos que utilizan las aplicaciones para
intercambiar datos, como correo electrónico (POP y SMTP), gestores de bases
de datos y servidor de ficheros (FTP).
Ofrece un servicio no transparente involucrando al usuario en las tareas

necesarias, aunque es el más flexible ya que el alcance y la intensidad de la
protección puede ser diseñada para cubrir las necesidades específicas de cada
aplicación.
Cada aplicación crítica requiere una definición de las opciones de autenticación

y encriptado necesarias
1.2.4.2 TRANSPORTE
Seguridad de la capa de transporte (TLS) sean protocolos criptográficos eso

proporciona seguro comunicaciones sobre Internet para las cosas tales como,
E-mail, El enviar por telefax del Internet, mensajería inmediata y otras
transferencias de datos.
Dentro de las responsabilidades que debe cumplir la capa de transporte esta el

seguimiento de conversaciones individuales en las que se debe mantener la
comunicación continua entre las aplicaciones, segmentación de datos que
consiste en dividir en partes manejables la información para su fácil
transportación, reensamble de segmentos en donde la información se une
nuevamente para seguir su proceso de trasmisión a la capa de aplicación y ser
mostrada al destino, identificación de las aplicaciones en la que a la capa de
transporte le es asignado un número de puerto, el cual es el identificador de la
aplicación destino y por último los requerimientos de datos varían en donde la
capa de transporte cuenta con varios protocolos que permiten que los
segmentos puedan llegar en una secuencia especifica al destino o incluso
pueda haber demora en la recepción de la información pero son enviados al
destino exitosamente. Una de las más importantes actividades de la capa de
transporte es la separación de comunicaciones múltiples lo que nos hace
referencia a que cuando existen varias aplicaciones simultáneas solicitando
servicios diferentes, la capa de transporte debe enviar la información correcta

autor.
a cada aplicación, de esta manera se establece una conversación entre el

origen y el destino.
Debe existir un control de las conversaciones, para ello se debe establecer

una sesión la cual permitirá la comunicación entre las aplicaciones antes de
que los datos sean trasmitidos, de esta manera se asegura una entrega
confiable pues si por algún motivo existe un pérdida de datos se pueden
volver a transmitir debido a esto sucede que los segmentos lleguen en
desorden, al numerar y secuenciar los segmentos la capa de transporte permite
reensamblar estos segmentos para que continúen de manera ordenada. Uno
de los problemas frecuentes al enviar datos es que éstos pueden ser
demasiado pesados y ocupar mucha memoria o ancho de banda para esto la
capa de transporte solicita a los protocolos que reduzcan la velocidad del flujo
de los segmentos, de esta manera se puede evitar la pérdida de datos en la
transmisión o incluso impedir que se reenvíen.
Los protocolos más comunes de la capa de transporte en el modelo TCP/IP

son el Protocolo de control de transmisión (TCP), el cual se encarga de la
entrega confiable y del control de flujo. Cada segmento de TCP posee 20 bytes
de carga en el encabezado, que encapsulan los datos de la capa de Aplicación,
los exploradores web, e-mail utilizan este protocolo. El otro protocolo más
utilizado es el Protocolo de datagramas de usuario (UDP) que cuenta con la
ventaja de proveer la entrega de datos sin utilizar muchos recursos, las
porciones de comunicación de este protocolo se les llama datagramas, los
cuales son enviados "máximo esfuerzo", entre las aplicaciones que utilizan
este protocolo se incluye DNS, streaming de video y voz sobre IP. Tanto
TCP como UDP cuentan con encabezados que se pueden identificar de
forma exclusiva. El organismo que asigna las normas de direccionamiento
(IANA), es responsable de los distintos tipos de números de puertos bien
conocidos que van del 0 al 1023 y se reservan para servicios y aplicaciones,
los puertos registrados que son del 1024 al 49151 están asignados a
procesos del usuario, los puertos privados del 49 152 al 65 535 son destinados
a aplicaciones de cliente cuando se inicia una conexión. El Netstat es una
utilidad de red para determinar las conexiones abiertas de un host.
Para que existan comunicaciones confiables es necesario que haya acuses de

recibo que confirmen la entrega exitosa de datos dentro de la sesión TCP, si
en un tiempo determinado este acuse no es recibido los datos se retransmiten
al destino. Dentro de la capa de transporte los números de puerto no pueden
tener dos servicios asignados a un servidor individual por esto se debe mejorar
la seguridad en un servidor y se limita el acceso al servidor a aquellos
puertos asociados con las aplicaciones accesibles a solicitudes. Se deben
cumplir tres pasos para que exista una conexión TCP, primero el cliente inicia
la conexión enviando un segmento, después el servidor responde con un

autor.
segmento de valor reconocido y finalmente el cliente que inicio la conexión

responde con un valor de afirmación, de esta forma queda establecida la
comunicación. Sin embargo para establecer la comunicación en el proceso de
cliente UDP se selecciona al azar un número de puerto del rango dinámico
y lo utiliza como puerto de origen para establecer la conexión, el cual
colaborará con la seguridad. Al elegir los puertos de origen y destino se utilizan
al principio de los datagramas que utilicen la transacción, para la devolución de
datos del servidor al cliente, se invierten los números de puerto de origen y
destino en el encabezado del datagrama.
1.2.4.3 RED
Implementar la seguridad en el nivel de red tiene muchas ventajas. La primera

de todas es que las cabeceras impuestas por los distintos protocolos son
menores ya que todos los protocolos de transporte y de aplicación pueden
compartir la infraestructura de gestión de claves provista por esta capa. La
segunda sería que pocas aplicaciones necesitarían cambios para utilizar la
infraestructura de seguridad, mientras que si la seguridad se implementara en
capas superiores cada aplicación o protocolo debería diseñar su propia
infraestructura. Esto resultaría en una multiplicación de esfuerzos, además de
incrementar la probabilidad de existencia de fallos de seguridad en su diseño y
codificación.
La desventaja principal de implementar la seguridad en la capa de red es la

dificultad de resolver problemas como el de la imposibilidad de repudio o la
autorización del usuario, ciertos mecanismos de seguridad extremo a extremo -
en los routers intermedios no existe el concepto de usuario, por lo que este
problema no podría darse.
Los ataques a nivel de red siguen siendo bastante frecuentes. Aunque las pilas
TCP/IP de los distintos sistemas operativos son cada vez más robustas,
todavía son frecuentes los ataques de denegación de servicio en servidores NT
y Unix debidos al empleo de generadores de datagramas IP erróneos o
complicados de procesar.
Es también frecuente el empleo de herramientas automatizadas de escaneo y

comprobación de vulnerabilidades en redes, así como la utilización de
programas específicos que explotan una determinada vulnerabilidad de un
servidor o servicio concreto para atacarlo.
En esta sección vamos a tratar sobre todo las medidas que creemos que se
deben establecer en las organizaciones mediante el uso de diversos protocolos
en los routers de acceso, para así evitar el acceso desde fuera a estos
servicios. Estas medidas no serán efectivas contra ataques internos, salvo que

autor.
se apliquen medidas internas concretas en aquellas organizaciones que tienen

un direccionamiento plano de red para su red física, pero permitirán como
mínimo reducir ciertos problemas como el SPAM o los ataques contra servicios
bien conocidos como NFS, NetBios, etc. Además permitirán que incluso si los
usuarios activan esos servicios en sus máquinas, éstos no serán accesibles
desde el exterior, evitando así múltiples problemas.
Filtrado de paquetes
Aunque la seguridad a nivel de sistema sigue teniendo una importancia vital,

los fallos en varios servicios TCP/IP y la existencia de protocolos defectuosos
hace imprescindible el uso de filtros en el nivel de red, que permitan a una
organización restringir el acceso externo a estos servicios. De esta forma, sólo
aquellos servicios que deban estar accesibles desde fuera del área local serán
permitidos a través de filtros en los routers. Además es importante que estos
filtros determinen las condiciones de acceso a los servicios permitidos.
CONFIGURACIÓN DE LAS PILAS TCP/IP EN EQUIPOS FINALES
La combinación de estos dos filtros prevendrán que un atacante de fuera de

nuestra red envíe paquetes simulando hacerlo desde dentro de nuestra red, así
como que paquetes generados dentro de nuestra red parezcan haber sido
generados fuera de la mismas.
Monitorización de routers y equipos de acceso
Hace algunos años era frecuente el empleo de equipos de acceso (servidores

de pools de modems, routers de acceso, etc.) para la conexión a los servidores
de las organizaciones desde el domicilio de los usuarios.
Tanto estos equipos como los routers de interconexión y cualquier dispositivo

(switch, concentrador ATM, etc. que disponga de esta opción), deben estar
monitorizados.
Esta monitorización es muchas veces muy sencilla de establecer y la recepción

y almacenamiento de los registros no requiere mucha carga del procesador.
En instalaciones con mucho equipamiento de red puede ser recomendable el

empleo de alguna herramienta de monitorización, de forma que las incidencias
que vayan ocurriendo sean notificadas en tiempo real a los administradores de
la red.

autor.
Separación de las redes y filtros anti-sniffing
Gran parte de los ataques que se producen son debidos a la obtención de las
claves empleando un programa de sniffing en una red ethernet. En muchas
ocasiones, la separación de las redes y el empleo de switches y routers hace
falta para permitir una mayor descongestión del tráfico interno de una
organización, pero además es muy necesario para lograr una mayor seguridad
dentro de esta.
Las salas de acceso general (bibliotecas, salas de prácticas comunes, aulas de

estudiantes, etc.) deben estar separadas mediante puentes (bridges) o
conmutadores (switches) del resto de la red, para evitar que se puedan
obtener, mediante sniffers, claves de acceso de otros grupos de usuarios. En
general los equipos que necesiten el empleo de sistemas inseguros de
transmisión de claves deberán estar aislados de la red, de forma que estas
claves no se transmitan por toda la organización.
Hay que considerar además las posibilidades de gestión y consola remota que
disponen muchos hubs y switches: hay que cambiar las claves por defecto que
suelen tener estos equipos y deshabilitar la gestión remota de éstos si no se va
a hacer uso de ella (SNMP, consolas remotas, servidor de HTTP.).
1.2.4.4 ENLACE
Es la forma de protección criptográfica más transparente tanto para los

controladores de los dispositivos como para las aplicaciones.
Esta protección solo afecta a un enlace individual. La ventaja principal es que el

paquete es encriptado por completo, incluyendo las direcciones de origen y
destino lo que deja fuera de riesgo la comunicación. Aunque el problema es
que solo protege un enlace en particular: si un mensaje debe atravesar más de
un enlace, será vulnerable en el nodo intermedio y en el siguiente enlace, si
éste no está protegido.
Por lo tanto, el encriptado a nivel de enlace es útil para proteger solo tráfico
local o unas pocas líneas de enlace muy vulnerables o críticas (como por
ejemplo circuitos satelitales).
Es el proceso de asegurar los datos en el nivel de enlace, cuando los datos son
transmitidos entre dos nodos instalados sobre el mismo enlace físico
Requerimientos: una clave secreta compartida entre las partes en contacto, y

un algoritmo de cifrado previamente acordado

autor.
Cifrado en el nivel de enlace
Cuando el transmisor y receptor no comparten un medio de transporte de datos

en común, los datos deben ser descifrados y recifrados en cada uno de los
nodos en el camino al receptor
El cifrado en el nivel de enlace se usa en caso de que no se aplique un

protocolo de cifrado de mayor nivel.
El cifrado a nivel de enlace no provee seguridad de extremo a extremo, fuera

del enlace físico.
Solo debe ser considerada una medida adicional en el diseño de la red. El

cifrado a nivel de enlace requiere más recursos de hardware en los puntos de
acceso.
1.2.5 MONITOREO
El término monitoreo de red describe el uso de un sistema que constantemente

monitorea una red de computadoras para detectar sistemas lentos o en mal
funcionamiento y que notifica al administrador de la red en caso de falla vía
correo electrónico, beeper u otras alarmas.
Es un subconjunto de las funciones implicadas en la administración de la red.
Los aplicativos de monitoreo del estado de red permiten, entre varias cosas:
- Revisar los signos vitales de la red en tiempo real.
Mientras un sistema de detección de intrusos monitorea una red de amenazas

del exterior, un sistema de monitoreo de red monitorea la red de problemas
debidos a servidores, conexiones de red u otros dispositivos sobrecargados y/o
fuera de servicio.
1.3 SEGURIDAD EN REDES INALÁMBRICAS
Son muchos los motivos para preocuparnos por la seguridad de una red
inalámbrica. Por ejemplo, queremos evitar compartir nuestro ancho de banda
públicamente. A nadie con algo de experiencia se le escapa que las redes
inalámbricas utilizan un medio inseguro para sus comunicaciones y esto tiene
sus repercusiones en la seguridad. Tendremos situaciones en las que
precisamente queramos compartir públicamente el acceso a través de la red
inalámbrica, pero también tendremos que poder configurar una red inalámbrica
para limitar el acceso en función de unas credenciales. También tenemos que
tener en cuanta que las tramas circulan de forma pública y en consecuencia
cualquiera que estuviera en el espacio cubierto por la red, y con unos medios

autor.
simples, podría capturar la tramas y ver el tráfico de la red. Aunque esto pueda
sonar a película de Hollywood, está más cerca de lo que podríamos pensar.
Para resolver los problemas de seguridad que presenta una red inalámbrica
tendremos que poder, por un lado, garantizar el acceso mediante algún tipo de
credencial a la red y por otro garantizar la privacidad de las comunicaciones
aunque se hagan a través de un medio inseguro.
Una empresa no debería utilizar redes inalámbricas para sus comunicaciones

si tiene información valiosa en su red que desea mantener segura y no ha
tomado las medidas de protección adecuadas. Cuando utilizamos una página
web para enviar un número de tarjeta de crédito deberemos, hacerlo siempre
utilizando una web segura porque eso garantiza que se transmite cifrada. Pues
en una red inalámbrica tendría que hacerse de una forma parecida para toda la
información que circula, para que proporcione al menos la misma seguridad
que un cable. Pensemos que en una red inalámbrica abierta se podría llegar a
acceder a los recursos de red compartidos.
1.3.3 WEP
WEP (Wired Equivalent Privacy), Privacidad Equivalente a Cable. Es el sistema

más simple de cifrado y lo admiten, la totalidad de los adaptadores
inalámbricos. El cifrado WEP se realiza en la capa MAC del adaptador de red
inalámbrico o en el punto de acceso, utilizando claves compartidas de 64 o 128
bits. Cada clave consta de dos partes, una de las cuales la tiene que configurar
el usuario/administrador en cada uno de los adaptadores o puntos de acceso
de la red. La otra parte se genera automáticamente y se denomina vector de
inicialización (IV). El objetivo del vector de inicialización es obtener claves
distintas para cada trama.
Funcionamiento del cifrado WEP.
Cuando tenemos activo el cifrado WEP en cualquier dispositivo inalámbrico,

bien sea una adaptador de red o un punto de acceso, estamos forzando que el
emisor cifre los datos. El receptor recoge y la descifra. Para no incurrir en
errores de concepto, esto es sólo aplicable a comunicaciones, cuando el punto
de acceso recoge una trama y la envía a través del cable, la envía sin cifrar. El
cifrado se lleva a cabo partiendo de la clave compartida entre dispositivos que,
como indicamos con anterioridad, previamente hemos tenido que configurar en
cada una de las estaciones. En realidad un sistema WEP almacena cuatro
contraseñas y mediante un índice indicamos cual de ellas vamos a utilizar en
las comunicaciones.
El proceso de cifrado WEP agrega un vector de inicialización (IV) aleatorio de

24 bits concatenándolo con un la clave compartida para generar la llave de
cifrado. Observamos como al configurar WEP tenemos que introducir un valor

autor.
de 40 bits (cinco dígitos hexadecimales), que junto con los 24 bits del IV
obtenemos la clave de 64 bits. El vector de inicialización podría cambiar en
cada trama trasmitida. WEP usa la llave de cifrado para generar la salida de
datos que serán, los datos cifrados más 32 bits para la comprobación de la
integridad, denominada ICV (integrity check value). El valor ICV se utiliza en la
estación receptora donde se recalcula y se compara con el del emisor para
comprobar si ha habido alguna modificación y tomar una decisión, que puede
ser rechazar el paquete.
Para cifrar los datos WEP utiliza el algoritmo RC4, que básicamente consiste
en generar un flujo de bits a partir de la clave generada, que utiliza como
semilla, y realizar una operación XOR entre este flujo de bits y los datos que
tiene que cifrar. El valor IV garantiza que el flujo de bits no sea siempre el
mismo. WEP incluye el IV en la parte no cifrada de la trama, lo que aumenta la
inseguridad. La estación receptora utiliza este IV con la clave compartida para
descifrar la parte cifrada de la trama.
Lo más habitual es utilizar IV diferentes para transmitir cada trama aunque esto
no es un requisito. El cambio del valor IV mejora la seguridad del cifrado WEP
dificultando que se pueda averiguar la contraseña capturando tramas, aunque
a pesar de todo sigue siendo inseguro.
Debilidades de WEP
Las debilidades de WEP se basan en que, por un lado, las claves permanecen
estáticas y por otro lado son insuficientes y se transmiten sin cifrar.
Algunos adaptadores sólo admiten cifrado WEP por lo que a pesar de su

inseguridad puede ser mejor que nada. Al menos evitaremos conexiones en
abierto incluso evitaremos conexiones y desconexiones a la red si hay varias
redes inalámbricas disponibles.

autor.
1.4 Seguridad en Sistemas
La seguridad informática consiste en asegurar que los recursos del

sistema de información (material informático o programas) de una
organización sean utilizados de la manera que se decidió y que el
acceso a la información allí contenida así como su modificación sólo
sea posible a las personas que se encuentren acreditadas y dentro
de los límites de su autorización.
Podemos entender como seguridad un estado de cualquier tipo de

información (informático o no) que nos indica que ese sistema está
libre de peligro, daño o riesgo. Se entiende como peligro o daño
todo aquello que pueda afectar su funcionamiento directo o los
resultados que se obtienen del mismo. Para la mayoría de los
expertos el concepto de seguridad en la informática es utópico
porque no existe un sistema 100% seguro. Para que un sistema se
pueda definir como seguro debe tener estas cuatro características:
 Integridad: La información sólo puede ser modificada por

quien está autorizado y de manera controlada.
 Confidencialidad: La información sólo debe ser legible para
los autorizados.
 Disponibilidad: Debe estar disponible cuando se necesita.
 Irrefutabilidad (No repudio): El uso y/o modificación de la
información por parte de un usuario debe ser irrefutable, es
decir, que el usuario no puede negar dicha acción.
Dependiendo de las fuentes de amenaza, la seguridad puede

dividirse en tres partes: seguridad física, seguridad ambiental y
seguridad lógica.
En estos momentos la seguridad informática es un tema de dominio

obligado por cualquier usuario de la Internet, para no permitir que su
información sea comprometida.

autor.
1.4.4 instalación segura de sistemas
Es el proceso por el cual nuevos programas son transferidos a un

computador y eventualmente, configurados, para ser usados con el
fin para el cual fueron desarrollados. Un programa recorre
diferentes fases de desarrollo durante su vida útil:
1. Desarrollo: cada programador necesita el programa instalado,

pero con las herramientas, códigos fuente, bancos de datos y
etc, para modificar el programa.
2. Prueba: antes de la entrega al usuario, el software debe ser
sometido a pruebas.
3. Producción: Para ser utilizado por el usuario final.
En cada una de esas fases la instalación cumple diferentes

objetivos.
Se debe comprender que en castellano programa sirve para señalar

tanto un guión o archivo ejecutable, ejemplo tar, como un conjunto
de archivos que sirven un fin común, ejemplo OpenOffice.org. Por
eso usaremos el neologismo software para programas
computacionales.

autor.
1.4.5 ADMINISTRACIÓN DE USUARIO Y CONTROLES DE

ACCESO
La administración es el proceso de planificar, organizar, dirigir y
controlar el uso de los recursos y las actividades de trabajo con el
propósito de lograr los objetivos o metas de la organización de
manera eficiente y eficaz.
hay dos tipos de usuarios, aquellos que pertenecen a una máquina

que corre NT WK o Server y aquellos que pertenecen a un dominio
NT. Para cada uno de estos tipos de usuarios existe una
herramienta de administración: el administrador de usuarios incluido
en NT Workstation y el administrador de usuarios para dominios
incluido en NT Server.
El funcionamiento de ambos es muy similar, pero el administrador

de usuarios para dominios dispone de más opciones. Por ello, se
describirá el administrador de usuarios para dominios.
Control de acceso son una popular solución de seguridad para

grandes empresas con muchos empleados. Sistemas de control de
acceso le permiten convenientemente permitir el acceso a zonas de
las empresas sólo es necesaria a cada empleado de forma
individual. Acceso a los sistemas de control de la mayoría de las
veces el uso de una identificación o de identificación con una banda
magnética con la información codificada.
Teclados, escáneres de huellas digitales y otro tipo de tecnología
también puede ser incorporado a un sistema de control de acceso,
dependiendo de las necesidades de seguridad y las
consideraciones prácticas. Un buen sistema de control de acceso
proveedor puede ayudar mediante el diseño de un sistema que
responde a sus necesidades de seguridad específicas de las
empresas.
Un sistema de control de acceso fácil y rentable proporciona a usted
la empresa de seguridad necesaria, así como de numerosos otros
beneficios.
Los Sistemas de control de acceso también puede utilizarse

eficazmente en las pequeñas empresas, hoteles, e incluso
complejos de apartamentos y dormitorios del colegio. Control de
acceso a la tecnología puede ahorrar con cada cambio de
cerraduras inquilino o rotación de personal, y le permitirá sentirse

autor.
seguro en el entorno seguro. Cómodo y fácil de utilizar, sistemas de

control de acceso se están convirtiendo en una opción de seguridad
más popular cada año. Sistemas de control de acceso también
puede ocupar el lugar de su tradicional reloj de tiempo, la mejora de
la puntualidad y el rendimiento de los empleados. Las actividades
del Empleado pueden controlarse fácilmente con el numeroso que
ofrece un sistema de control de acceso.
1.4.6 ADMINISTRACIÓN DE SERVICIO
La Administración de Servicios es una iniciativa de alto impacto de

la Administración de Servicios de Negocio, que conecta la
administración de servicios y demandas con la planificación del
portafolio de servicios.
Los Administradores de Servicios son las que gestionan y

administran todo tipo de que haceres concernientes a la red. Los
Administradores de Servicios tienen acceso pleno a los servicios
(CHaN, NiCK, MeMO, etc.). Los Administradores son Operadores e
IRCops por extensión con lo cual además de sus responsabilidades,
heredan las de estos. Al igual que los Operadores, los
Administradores están normalmente ocupados, con lo que en
ocasiones resulta difícil encontrar uno disponible. En ese caso
deberás comentar el problema con un Operador, quien
posteriormente se encargará de informar a un Administrador sobre
el problema si no lo pudo resolver.

autor.
1.4.7 MONITOREO
El Monitoreo se basa en un sistema de seguimiento continuo de la
información relacionada al sistema jurídico político para la medición
de resultados o identificación de acciones llevadas adelante por un
determinado sector de nuestra sociedad o grupo social con el
objetivo de ser estudiado para investigaciones socio-políticas.
El monitoreo en este caso consiste en plasmar en un solo lugar

información relacionada a nuestra agenda publica según los
debates, artículos y notas que salen en los medios de
Comunicación virtuales. La herramienta de monitoreo tiene como
principal finalidad permitir recrear, en base a hechos cronológicos,
lo acontecido desde el año 2008 hasta nuestros dias en el ámbito
jurídico político, como así también ser una herramienta a ser
utilizada para permitir un estudio detallado de los hechos que
marcaron a nuestra comunidad.
El monitoreo de sistemas es un programa que permite verificar

sistemáticamente el desempeño y la disponibilidad de los elementos
críticos de un equipo de cómputo instalado en el Centro de Datos, a
través de la identificación y el aislamiento de problemas.
Fue diseñado para empresas que necesitan mantener un
desempeño confiable y escalable en sus equipos y aplicaciones, y
que cuentan con escaso personal técnico.
Características:
Identificación y registro de eventos tales como falta de
disponibilidad de un equipo o recurso y violaciones a los umbrales
de operación definidos.
Identificación de degradaciones en el desempeño del sistema que
provocan problemas o tiempos de respuesta lentos.
Registro de los eventos identificados (bitácora).
Emisión de reportes mensuales de eventos.
Beneficios:
Facilita la planeación de la capacidad de sus operaciones.
Continuidad de su operación gracias a detección de temprana de
eventos.
Requerimientos:
Ubicar el equipo y aplicaciones a monitorear dentro del Centro de
Datos.

autor.
1.4.8 ACTUALIZACIONES DE LOS SISTEMAS
La actualización comienza a prepararse con el diseño y

construcción del sistema
El proceso de actualización es multifacético: afecta a software,
hardware y datos, pero también es un reto organizativo
Es recomendable involucrar a los usuarios en el proceso de
decisión sobre la actualización y en su implantación
No es deseable que el tecnológico sea el único motor de la
actualización de sistemas.
1.4.9 MECANISMO DE RESPALDO
Consiste en realizar una copia de seguridad para la información de los

usuarios, existen muchas herramientas y metodologías para
respaldar la información, sin embargo su aplicación depende
directamente de la unidad de TI.
La mejor manera para evitar perdida de información es mediante la
elaboración de planes/políticas/procedimientos y su aplicación.

autor.
Unidad II
Monitoreo de la seguridad informática
2.1 ADMINISTRACIÓN DE LA SEGURIDAD INFORMÁTICA
La administración de la seguridad informática consiste en una serie

de procesos que tienen como propósito mantener un nivel
adecuado de seguridad informática en el sistema de información a
lo largo del tiempo.
Los procesos no se limitan al mantenimiento y la optimización de la

seguridad informática en el presente, sino que incluyen también
procesos de planeación estratégica de seguridad informática, que
garanticen que el nivel de seguridad se mantendrá en el futuro, y
que le permitan al sistema de seguridad informática anticiparse a
los requerimientos de seguridad impuestos por el entorno, o por la
organización a la cual el sistema de información sirve.
La administración de la seguridad informática debe garantizar:
 La Disponibilidad de los sistemas de información.

 El Recupero rápido y completo de los sistemas de información
 La Integridad de la información.
 La Confidencialidad de la información.

autor.
Cinco objetivos principales de la administración de la seguridad

informática:
Integridad: La verificación de la integridad de los datos consiste en

determinar si se han alterado los datos durante la transmisión
(accidental o intencionalmente).
Confidencialidad: consiste en hacer que la información sea

ininteligible para aquellos individuos que no estén involucrados en la
operación.
Disponibilidad: El objetivo de la disponibilidad es garantizar el

acceso a un servicio o a los recursos.
Evitar el rechazo: garantizar de que no pueda negar una operación

realizada.
Autenticación: La autenticación consiste en la confirmación de la

identidad de un usuario; es decir, la garantía para cada una de las
partes de que su interlocutor es realmente quien dice ser. Un control
de acceso permite (por ejemplo gracias a una contraseña
codificada) garantizar el acceso a recursos únicamente a las
personas autorizadas.
El rol de la administración de informática es el de asegurar que los

recursos de informática y los derechos de acceso a estos recursos
coincidan con la política de seguridad definida por la organización.

autor.
2.1.1 ADMINISTRACIÓN DE CUMPLIMIENTO DE POLITICA
Política: son instrucciones mandatorios que indican la intención de

la alta gerencia respecto a la operación de la organización.
Una política de seguridad informática es un conjunto de reglas que

definen la manera en que una organización maneja, administra,
protege y asigna recursos para alcanzar el nivel de seguridad
definido como objetivo.
Pasos administrables del cumplimiento de política:
1. Determine dónde enfocar sus esfuerzos de cumplimiento.
2. Utilice procedimientos que validen el cumplimiento.
3. Consolide la administración del cumplimiento.
4. Diseñe políticas de cumplimiento con un enfoque jerárquico.
5. Decida automatizar los procesos de cumplimiento.
6. Elija tecnologías que habiliten el cumplimiento.
Área de cumplimiento de política
1. Definir y monitorear la implementación de la política de

seguridad consecuente con la estrategia de la organización.
2. Administrar las políticas de seguridad física, ambiental y lógica

del Departamento, garantizando todos los aspectos
relacionados con la integridad y confidencialidad de la
información del Organismo.

autor.
3 Garantizar la compatibilidad de los sistemas con las políticas y

normas de Seguridad de la información.
2.1.2 ADMINISTRACIÓN DE INSIDENTE
El conocimiento es un factor decisivo al momento de administrar

incidentes y gestionar la política de control.
Pasos para la administración de incidente.
 Minimizar la interrupción de la actividad normal

 Proveer reportes específicos y puntuales de seguridad
 Minimizar la exposición y el compromiso de información
 Proteger la reputación de la organización de sus activos
 Hacer mención de la relevancia de un equipo de respuesta a
incidentes bien capacitados.

autor.
2.1.3 ANÁLISIS DE NUEVAS VULNERABILIDADES EN LA

INFRAESTRUCTURA
Para reforzar la Seguridad de la Información es indispensable

conocer las vulnerabilidades que afectan la infraestructura,
clasificarlas de acuerdo a su severidad y trabajar en un Plan de
Trabajo que permita irlas controlando conforme la Empresa lo
requiera o de acuerdo a sus posibilidades.
Conocimiento de las Vulnerabilidades Reales de Seguridad de la
Infraestructura, Reconoce configuraciones erróneas.
Recomendaciones Específicas para Reducir o Eliminar las
Vulnerabilidad críticas.
Plan de Trabajo detallado con compromisos sobre Niveles de
Seguridad para la Operación
Análisis Posteriores para verificar que las Vulnerabilidades estén
bajo control o hayan sido eliminadas
Actualización periódica sobre nuevas Vulnerabilidades que afecten
la operación.
Las pruebas de vulnerabilidad son una parte esencial de un
programa de seguridad informática eficaz. Las pruebas de
vulnerabilidad pueden ofrecerle mucha información valiosa sobre su
nivel de exposición a las amenazas. La realización continua de
evaluaciones de sus equipos informáticos críticos y de alto riesgo le
ayudará a fortalecer de manera anticipada su entorno frente a
posibles amenazas.

autor.
2.1.4 MONITOREO DE LOS MECANISMOS DE SEGURIDAD
Un mecanismo de seguridad informática es una técnica o

herramienta que se utiliza para fortalecer la confidencialidad, la
integridad y/o la disponibilidad de un sistema informático.
Existen muchos y variados mecanismos de seguridad informática.
Su selección depende del tipo de sistema, de su función y de los
factores de riesgo que lo amenazan.
Clasificación según su función:

Preventivos: Actúan antes de que un hecho ocurra y su función es
detener agentes no deseados.
Detectivos: Actúan antes de que un hecho ocurra y su función es
revelar la presencia de agentes no deseados en algún componente
del sistema. Se caracterizan por enviar un aviso y registrar la
incidencia.
Correctivos: Actúan luego de ocurrido el hecho y su función es
corregir las consecuencias.

autor.
2.2 DETECCIÓN DE INTRUSOS
Un sistema de detección de intrusos (o IDS de sus siglas en inglés

Intrusion Detection System) es un programa usado para detectar
accesos no autorizados a un computador o a una red. Estos
accesos pueden ser ataques de habilidosos hackers o de Script
Kiddies que usan herramientas automáticas.
El funcionamiento de estas herramientas se basa en el análisis

pormenorizado del tráfico de red, el cual al entrar al analizador es
comparado con firmas de ataques conocidos, o comportamientos
sospechosos, como puede ser el escaneo de puertos, paquetes
malformados, etc. El IDS no sólo analiza qué tipo de tráfico es, sino
que también revisa el contenido y su comportamiento.
Normalmente esta herramienta se integra con un firewall. El

detector de intrusos es incapaz de detener los ataques por sí solo,
excepto los que trabajan conjuntamente en un dispositivo de puerta
de enlace con funcionalidad de firewall, convirtiéndose en una
herramienta muy poderosa ya que se une la inteligencia del IDS y el
poder de bloqueo del firewall, al ser el punto donde forzosamente
deben pasar los paquetes y pueden ser bloqueados antes de
penetrar en la red.
2.2.2 FALSOS POSITIVOS
Un falso positivo es un error por el cual un software antivirus reporta

que un archivo o área de sistema está infectada, cuando en realidad
el objeto está limpio de virus.

autor.
2.2.3 FALSO NEGATIVO
Un falso negativo es un error mediante el cual el software falla en

detectar un archivo o área del sistema que está realmente
infectada.
Tanto los falsos positivos como los falsos negativos se pueden

producir debido a que el antivirus empleado no contiene los micro
códigos exactos del virus, que no necesariamente se encuentran en
una misma y única "cadena" o se trata de una nueva variante de la
especie viral. Los métodos heurísticos que no tengan una buena
técnica de programación o al ser compilados no hayan sido
"consistenciados", son susceptibles de reportar falsos positivos o
falsos negativos.
2.2.4 MÉTODOS DE DETECCIÓN DE INTRUSOS
El método es un orden que debe imponer a los diferentes procesos

necesarios apara lograr un fin dado o resultados.

autor.
2.2.4.1 ANÁLISIS DE TRÁFICO
El análisis del tráfico de red se basa habitualmente en la utilización

de sondas con interfaz Ethernet conectadas al bus. Dichas sondas,
con su interfaz Ethernet funcionando en modo promiscuo, capturan
el tráfico a analizar y constituyen la plataforma en la que se
ejecutarán, de forma continua, aplicaciones propietarias o de
dominio público, con las que se podrá determinar el tipo de
información que circula por la red y el impacto que pudiera llegar a
tener sobre la misma.
Para realizar análisis de tráfico existe una gran variedad de

soluciones que van desde productos propietarios que incluyen
hardware y software, hasta soluciones gratuitas y de código abierto
comúnmente utilizadas bajo sistemas Linux-UNIX.
2.2.4.2 HIDS
HIDS (HostIDS): el principio de funcionamiento de un HIDS,

depende del éxito de intrusos, que generalmente dejaran rastros de
sus actividades en el equipo atacado, cuando intentan adueñarse
del mismo, con propósito de llevar a cabo otras actividades. El HIDS
intenta detectar tales modificaciones en el equipo afectado, y hacer
un reporte de sus conclusiones.
2.2.4.3 NIDS
NIDS (NetworkIDS): un IDS basado en red, detectando ataques a

todo el segmento de la red. Su interfaz debe funcionar en modo
promiscuo capturando así todo el tráfico de la red.

autor.
2.2.4.4 NUEVOS METODOS DE DETECCION
Detección de mal uso y detección de anomalías.
el modelo de detección de anomalías se basa en constantemente

monitorear el sistema para así detectar cualquier cambio en los
patrones de utilización o el comportamiento del mismo.
El modelo de detección de mal uso consiste en observar cualquier

proceso que intente explotar los puntos débiles de un sistema en
específico.
2.2.5 IDENTIFICACION DE ATAQUES
La identificación de ataques consiste en descubrir las

vulnerabilidades de una red y tener acceso a la misma, y de esta
forma poder modicar o eliminar archivos.
Se debe de tener en cuenta que podemos realizar los ataques de

manera física y lógica.
Ataque Físico: Es aquel que lo podemos realizar a la

infraestructura de una red es decir al hardware.
Ataque Lógico: consiste el descubrir las vulnerabilidades del

software implantadas por la compañía.
Diremos que se entiende por amenaza una condición del entorno

del sistema de información (persona, máquina, suceso o idea) que,
dada una oportunidad, podría dar lugar a que se produjese una
violación de la seguridad (confidencialidad, integridad, disponibilidad
o uso legítimo).

autor.
Ataque WIFI.: Este tipo de ataques se basa en el engaño y

básicamente en la suplantación de identidades y/o dispositivos
pertenecientes a la Red Inalámbrica Wifi atacada.
Snifers._ es un programa de captura de las tramas de red.

Generalmente se usa para gestionar la red con una finalidad
docente, aunque también puede ser utilizado con fines maliciosos.
2.2.6 ANÁLISIS DE TIEMPO DE RESPUESTA DE IDS

accesos pueden ser ataques de habilidosos hackers, o de Script
El IDS suele tener sensores virtuales (por ejemplo, un sniffer de red)

con los que el núcleo del IDS puede obtener datos externos
(generalmente sobre el tráfico de red). El IDS detecta, gracias a
dichos sensores, anomalías que pueden ser indicio de la presencia
de ataques o falsas alarmas.

autor.
Unidad III
Control de la seguridad informática
3.1 Auditoría de Red
Una auditoria de red toma en cuenta diversos factores no solo

ligados a la productividad y performance o comportamiento de la
red sino también a la seguridad de la misma.
Es importante en este caso mantener las premisas fundamentales

de la seguridad informática:
1. Integridad
2. Confidencialidad
3. Disponibilidad
Estas deben estar garantizadas en todo momento para el correcto

funcionamiento de la red y de sus servicios por parte del usuario
final. Cuando se rompe una de las tres premisas la seguridad de la
información ha sido comprometida y debe abrirse paso la ejecución
del DRP o Disaster Recovery Plan o en menor medida un análisis
de la intrusión y restablecimiento de los servicios y demás
dependiendo del caso.
Dentro de una auditoria de red, tanto interna como externa, se

analizan distintos factores, como puntos débiles, puntos críticos,
vulnerabilidades, se realiza un análisis del espacio de IPS de la
empresa, se verifican los servicios brindados y la posibilidad no solo
de intrusiones sino también de ataques de denegación de servicio.
Además de un análisis exhaustivo se extraen conclusiones y

recomendaciones de la información que se ha recabado, lo cual es
uno de los puntos más importantes a la hora de brindar un informe
al cliente. Este suele ser también el paso principal para la mejora o
hardening de la red de información de la empresa.

autor.
Luego del diagnóstico de la red o de que la misma ha sido auditada

puede procederse a un plan o abono de Mantenimiento de la Red.
Es una serie de mecanismos mediante los cuales se pone a prueba

una red informática, evaluando su desempeño y seguridad, a fin
de lograr una utilización más eficiente y segura de la información.
Metodología
Identificar:
- Estructura física ( hardware, topología)
- Estructura lógica ( Software aplicaciones)
-
Etapas de la auditoria de redes
- Análisis de la vulnerabilidad.
- Estrategia de saneamiento.
- Plan de contención ante posibles incidentes.
- Seguimiento continúo del desempeño de sistemas.
- Análisis de la vulnerabilidad:
Este es sin duda el punto mas critico de toda la auditoria, ya que de

el dependerá directamente el curso de acción a tomar en las
siguientes etapas y el éxito de estas
- Estrategia de saneamiento.
Se identifican las brechas en la red y se produce a aprovecharlas,
ya sea actualizando el software afectado, reconfigurando de una
manera mejor o removiéndolo para reemplazarlo por otro software
similar.

autor.
- Plan de contención ante posibles incidentes.

Consta de elaborar un plan “B” que provea un incidente a un
después de tomadas las medidas de seguridad, y que da respuesta
a posibles eventualidades.
- Seguimiento continúo del desempeño de sistemas.

La seguridad no es un producto es un proceso. Constantemente
surgen nuevos fallos de seguridad, nuevos virus, nuevas
herramientas que facilitan la instrucción en sistemas, como también
nuevas y más efectivas tecnologías para solucionar estos y otros
problemas.
Auditoria De La Red Física

Se debe garantizar que exista:
 Áreas de equipo de comunicación con control de acceso.
 Protección y tendido adecuado de cables y líneas de
comunicación para evitar accesos físicos.
 Control de utilización de equipos de prueba de
comunicaciones para monitorizar la red y el trafico en ella.
 Prioridad de recuperación del sistema.
 Control de las líneas telefónicas.
Comprobando que:
 El equipo de comunicaciones ha de estar en un lugar cerrado
y con acceso limitado.
 La seguridad física del equipo de comunicaciones sea
adecuada.
 Se tomen medidas para separar las actividades de los
electricistas y de cableado de líneas telefónicas.
 Las líneas de comunicación estén fuera de la vista.
 Se dé un código a cada línea, en vez de una descripción física
de la misma.
 Haya procedimientos de protección de los cables y las bocas
de conexión para evitar pinchazos a la red.
 Existan revisiones periódicas de la red buscando pinchazos a
la misma.
 El equipo de prueba de comunicaciones ha de tener unos
propósitos y funciones específicas.
 Existan alternativas de respaldo de las comunicaciones.

autor.
 Con respecto a las líneas telefónicas: No debe darse el

número como público y tenerlas configuradas con retro llamada,
código de conexión o interruptores.
Auditoria De La Red Lógica

En ésta, debe evitarse un daño interno, como por ejemplo,
inhabilitar un equipo que empieza a enviar mensajes hasta que
satura por completo la red.
Para éste tipo de situaciones:
 Se deben dar contraseñas de acceso.
 Controlar los errores.
 Garantizar que en una transmisión, ésta solo sea recibida por
el destinatario. Para esto, regularmente se cambia la ruta de
acceso de la información a la red.
 Registrar las actividades de los usuarios en la red.
 Encriptar la información pertinente.
 Evitar la importación y exportación de datos.
Que se comprueban si:
El sistema pidió el nombre de usuario y la contraseña para cada

sesión:
En cada sesión de usuario, se debe revisar que no acceda a ningún
sistema sin autorización, ha de inhabilitarse al usuario que tras un
número establecido de veces erra en dar correctamente su propia
contraseña, se debe obligar a los usuarios a cambiar su contraseña
regularmente, las contraseñas no deben ser mostradas en pantalla
tras digitarlas, para cada usuario, se debe dar información sobre su
última conexión a fin de evitar suplantaciones.
 Inhabilitar el software o hardware con acceso libre.
 Generar estadísticas de las tasas de errores y transmisión.
 Crear protocolos con detección de errores.
 Los mensajes lógicos de transmisión han de llevar origen,
fecha, hora y receptor.
 El software de comunicación, ha de tener procedimientos
correctivos y de control ante mensajes duplicados, fuera de
orden, perdidos o retrasados.
 Los datos sensibles, solo pueden ser impresos en una
impresora especificada y ser vistos desde una terminal
debidamente autorizada.

autor.
 Se debe hacer un análisis del riesgo de aplicaciones en los

procesos.
 Se debe hacer un análisis de la conveniencia de cifrar los
canales de transmisión entre diferentes organizaciones.
 Asegurar que los datos que viajan por Internet vayan cifrados.
 Si en la LAN hay equipos con modem entonces se debe
revisar el control de seguridad asociado para impedir el acceso
de equipos foráneos a la red.
 Deben existir políticas que prohíban la instalación de
programas o equipos personales en la red.
 Los accesos a servidores remotos han de estar inhabilitados.
 La propia empresa generará propios ataques para probar
solidez de la red y encontrar posibles fallos en cada una de las
siguientes facetas:
o Servidores = Desde dentro del servidor y de la red
interna.
o Servidores web.
o Intranet = Desde dentro.
o Firewall = Desde dentro.
o Accesos del exterior y/o Internet.

autor.
3.1.1 CONCEPTO DE AUDITORÍA SOBRE LA RED
Para el informático y para el auditor informático, el entramado

conceptual que constituyen las Redes Nodales, Líneas,
Concentradores, Multiplexores, Redes Locales, etc. no son sino el
soporte físico-lógico del Tiempo Real.
El auditor tropieza con la dificultad técnica del entorno, pues ha de

analizar situaciones y hechos alejados entre sí, y está condicionado
a la participación del monopolio telefónico que presta el soporte.
Como en otros casos, la auditoría de este sector requiere un equipo
de especialis-tas, expertos simultáneamente en Comunicaciones y
en Redes Locales (no hay que olvidarse que en entornos
geográficos reducidos, algunas empresas optan por el uso interno
de Redes Locales, diseñadas y cableadas con recursos propios).
El auditor de Comunicaciones deberá inquirir sobre los índices de

utilización de las líneas contratadas con información abundante
sobre tiempos de desuso.
Deberá proveerse de la topología de la Red de Comunicaciones,

actualizada, ya que la desactualizacion de esta documentación
significaría una grave debilidad. La inexistencia de datos sobre la
cuantas líneas existen, cómo son y donde están instaladas,
supondría que se bordea la Inoperatividad Informática. Sin
embargo, las debilidades más frecuentes o importantes se
encuentran en las disfunciones organizativas.
La contratación e instalación de líneas va asociada a la instalación

de los Puestos de Trabajo correspondientes (Pantallas, Servidores
de Redes Locales, Computadoras con tarjetas de Comunicaciones,
impresoras, etc.). Todas estas actividades deben estar muy
coordinadas y a ser posible, dependientes de una sola
organización.

autor.
3.1.2 HERRAMIENTAS DE AUDITORÍA
Métodos, técnicas y herramientas de auditoría.
Las auditorías informáticas se materializan recabando información y

documentación de todo tipo. Los informes finales de los auditores
dependen de sus capacidades para analizar las situaciones de
debilidad o fortaleza de los diferentes entornos. El trabajo de campo
del auditor consiste en lograr toda la información necesaria para la
emisión de un juicio global objetivo, siempre amparado en hechos
demostrables, llamados también evidencias.
Para esto, suele ser lo habitual comenzar solicitando la

cumplimentación de cuestionarios preimpresos que se envían a las
personas concretas que el auditor cree adecuadas, sin que sea
obligatorio que dichas personas sean las responsables oficiales de
las diversas áreas a auditar.
Sobre esta base, se estudia y analiza la documentación recibida, de

modo que tal análisis determine a su vez la información que deberá
elaborar el propio auditor. El cruzamiento de ambos tipos de
información es una de las bases fundamentales de la auditoría.
Cabe aclarar, que esta primera fase puede omitirse cuando los
auditores hayan adquirido por otro medios la información que
aquellos preimpresos hubieran proporcionado.
Entrevistas:
El auditor comienza a continuación las relaciones personales con el

auditado. Lo hace de tres formas:
1. Mediante la petición de documentación concreta sobre alguna

materia de su responsabilidad.
2. Mediante “entrevistas” en las que no se sigue un plan

predeterminado ni un método estricto de sometimiento a un
cuestionario.

autor.
3. Por medio de entrevistas en las que el auditor sigue un método

preestablecido de antemano y busca unas finalidades concretas.
La entrevista es una de las actividades personales más importante

del auditor; en ellas, éste recoge más información, y mejor
matizada, que la proporcionada por medios propios puramente
técnicos o por las respuestas escritas a cuestionarios.
Aparte de algunas cuestiones menos importantes, la entrevista

entre auditor y auditado se basa fundamentalmente en el concepto
de interrogatorio; es lo que hace un auditor, interroga y se interroga
a sí mismo. El auditor informático experto entrevista al auditado
siguiendo un cuidadoso sistema previamente establecido,
consistente en que bajo la forma de una conversación correcta y lo
menos tensa posible, el auditado conteste sencillamente y con
pulcritud a una serie de preguntas variadas, también sencillas.
Sin embargo, esta sencillez es solo aparente. Tras ella debe existir
una preparación muy elaborada y sistematizada, y que es diferente
para cada caso particular.
Tunning:
Es el conjunto de técnicas de observación y de medidas

encaminadas a la evaluación del comportamiento de los
Subsistemas y del Sistema en su conjunto. Las acciones de tunning
deben diferenciarse de los controles habituales que realiza el
personal de Técnica de Sistemas. El tunning posee una naturaleza
más revisora, estableciéndose previamente planes y programas de
actuación según los síntomas observados.
Optimización de los Sistemas y Subsistemas:
Técnica de Sistemas debe realizar acciones permanentes de

optimización como consecuencia de la realización de tunnings
preprogramados o específicos. El auditor verificará que las acciones
de optimización* fueron efectivas y no comprometieron la
Operatividad de los Sistemas ni el plancrítico de producción diaria
de Explotación.

autor.
Optimización:
Por ejemplo: cuando se instala una Aplicación, normalmente está

vacía, no tiene nada cargado adentro.
Lo que puede suceder es que, a medida que se va cargando, la

Aplicación se va poniendo cada vez más lenta; porque todas las
referencias a tablas es cada vez más grande, la información que
está moviendo es cada vez mayor, entonces la Aplicación se tiende
a poner lenta.
Lo que se tiene que hacer es un análisis de performance, para

luego optimizarla, mejorar el rendimiento de dicha Aplicación.
Checklist:
El auditor profesional y experto es aquél que reelabora muchas

veces sus cuestionarios en función de los escenarios auditados.
Tiene claro lo que necesita saber, y por qué.
Sus cuestionarios son vitales para el trabajo de análisis,

cruzamiento y síntesis posterior, lo cual no quiere decir que haya de
someter al auditado a unas preguntas estereotipadas que no
conducen a nada. Muy por el contrario, el auditor conversará y hará
preguntas “normales”, que en realidad servirán para la
cumplimentación sistemática de sus Cuestionarios, de sus
Checklists.
Según la claridad de las preguntas y el talante del auditor, el

auditado responderá desde posiciones muy distintas y con
disposición muy variable.
El auditado, habitualmente informático de profesión, percibe con

cierta facilidad el perfil técnico y los conocimientos del auditor,
precisamente a través de las preguntas que éste le formula.

autor.
El auditor deberá aplicar la Checklist de modo que el auditado

responda clara y escuetamente. Se deberá interrumpir lo menos
posible a éste, y solamente en los casos en que las respuestas se
aparten sustancialmente de la pregunta.
En algunas ocasiones, se hará necesario invitar a aquél a que

exponga con mayor amplitud un tema concreto, y en cualquier caso,
se deberá evitar absolutamente la presión sobre el mismo.
El entrevistado no debe percibir un excesivo formalismo en las

preguntas. El auditor, por su parte, tomará las notas imprescindibles
en presencia del auditado, y nunca escribirá cruces ni marcará
cuestionarios en su presencia.
3.1.3 MAPEO DE LA RED
Mapeo de red es un procedimiento por el cual se identifican todos

los host y dispositivos de red, en una LAN. La utilidad q tiene esto,
es para evitar q les hackeen la red xD. Porque si tienen mapeada su
red, saben que tienen... Y detectan fácilmente equipos intrusos, q
se hayan agregado a sí mismo.

autor.
3.1.4 MONITORES DE RED
Con el Monitor de red puede recopilar información que le ayudará a

mantener la red a pleno rendimiento, gracias a funciones que
permiten desde identificar patrones a evitar o solucionar problemas.
El Monitor de red proporciona información acerca del tráfico de la
red que fluye hacia y desde el adaptador de red del equipo donde
está instalado. Al capturar información y analizarla puede evitar,
diagnosticar y solucionar muchos tipos de problemas relativos a la
red. Para obtener más información acerca de cómo solucionar
problemas de la red, vea Recursos del Monitor de red.
Puede configurar el Monitor de red para que proporcione
información específica que sea más importante para usted. Por
ejemplo, puede configurar desencadenadores para que el Monitor
de red inicie o detenga la captura de información cuando se cumpla
una condición o un conjunto de condiciones. También puede
configurar filtros para controlar la información que el Monitor de red
captura o muestra. Para facilitar el análisis de la información, es
posible modificar cómo se muestra la información en la pantalla, así
como guardarla o imprimirla para su revisión posterior. Para obtener
más información acerca de cómo personalizar el Monitor de red,
vea Capturar datos y Filtrar datos.
El componente Monitor de red que se suministra con los sistemas
operativos de la familia Microsoft® Windows Server 2003 puede
capturar tramas enviadas hacia o desde el equipo donde está
instalado. Si desea capturar las tramas enviadas hacia o desde un
equipo remoto, debe utilizar el componente Monitor de red que se
suministra con Microsoft Systems Management Server, que puede
capturar las tramas enviadas hacia o desde cualquier equipo donde
esté instalado el controlador del Monitor de red. Para obtener más
información acerca de Microsoft Systems Management Server, vaya
al sitio Web de Microsoft.
La información que proporciona el Monitor de red proviene del
propio tráfico de la red, dividido en tramas. Una trama contiene
información como la dirección del equipo que la envió y del que la
recibió, y los protocolos que incluye. Para obtener más información
acerca de las tramas, vea Cómo funciona el Monitor de red.

autor.
3.1.5 AUDITORÍA A FIREWALLS
La auditoría de firewalls (equipos que monitorean el flujo de

información desde los servidores hacia y desde Internet) ocupa un
espacio fundamental, tendiente a determinar que todo el tráfico
desde adentro hacia afuera, y viceversa, pase por él, y destacando
que sólo el tráfico autorizado podrá pasar, permaneciendo el
firewall mismo inmune a la penetración.
Se realizarán procedimientos para determinar que su arquitectura
combine medidas de control tanto a nivel de aplicación como a nivel
de red. Son también importantes los sistemas que generan alarmas
ante actividades sospechosas, llamados “detectores de intrusiones”.
Los Firewalls son grandiosos para restringir el acceso a la red, pero

los firewalls no pueden prevenir todos los problemas. dos de los
problemas más comunes con firewalls son
Mala configuración que permite acceso no deseado
Servicios vulnerables mas allá del firewall (ejemplo. El servidor web
sobre el puerto 80) permitiendo a un atacante pasar a través del
firewall, y a través del servicio vulnerable, dentro de la máquina que
corre el servicio vulnerable, desde aquí puede atacar el resto de su
red detrás del firewall en si mismo.
3.1.6 PRUEBAS DE PENETRACIÓN SOBRE REDES
Que es prueba de penetración

Los ensayos o pruebas de penetración son pruebas realizadas para
la determinación de las características geotécnicas de un terreno,
como parte de las técnicas de reconocimiento de un reconocimiento
geotécnico
Tipos de pruebas de penetración
Ataques del entorno
El software no se ejecuta aislado. Depende de cualquier número de
archivos binarios y módulos de código equivalente, como scripts y
complementos.

autor.
Puede usar también información de configuración del Registro o del

sistema de archivos, así como de bases de datos y de servicios que
podrían residir en cualquier parte. Cada una de estas interacciones
del entorno puede constituir la fuente de una infracción de
seguridad y, por lo tanto, deben someterse a prueba.
Ataques de entrada
En las pruebas de penetración, el subconjunto de entradas que
procede de fuentes que no son de confianza es el más importante.
Éstas incluyen rutas de comunicación como, por ejemplo,
protocolos de red y sockets, funcionalidades remotas expuestas
como DCOM, llamadas a procedimiento remoto (RPC, Remote
Procedure Calls) y servicios web, archivos de datos (binarios o de
texto), archivos temporales creados durante la ejecución y archivos
de control como scripts y archivos XML, todos los cuales están
sujetos a manipulaciones.
Ataques de datos y de lógica

Algunos errores se encuentran incrustados en los mecanismos
internos de almacenamiento de datos de la aplicación y en la lógica
de algoritmos. En dichos casos, parece haber errores de diseño y
de codificación en los que el desarrollador ha asumido la presencia
de un usuario benevolente o bien no se dio cuenta de la presencia
de ciertas rutas de código en las que el usuario debe tener cuidado.
No se deje disuadir en su intento

Las pruebas de penetración son muy distintas de las pruebas
funcionales tradicionales; no sólo carecen los evaluadores de
penetración de la documentación apropiada sino que, además,
éstos deben pensar como usuarios que tienen la intención de hacer
daño.

autor.
3.1.7 ANÁLISIS DE LA INFORMACIÓN Y RESULTADOS
La evaluación de desempeño de las redes, según la metodología y

los ejemplos utilizados, corresponde:
(1) a una valoración actual del desempeño de cada una de ellas;
esto es, para el estadio en que está la red y como expresión tanto
de sus fortalezas y debilidades internas, como de la influencia del
contexto externo. También se ha evaluado.
(2) la influencia del contexto externo. En ambos casos, se ha
utilizado la lista correspondiente a los criterios de medición del
desempeño.
El análisis puede mostrarse en tres niveles.

· Por una caracterización por grupos de redes,
independientemente de la forma en que se hayan asociado (la
asociación civil sin fines de lucro es una forma común, por ejemplo).
· Por la caracterización de cada uno de estos grupos en
relación con los criterios empleados para la evaluación del
desempeño (comportamiento, gestión empresarial, gestión
financiera).
· Por la influencia del contexto externo en relación con los
grupos de redes.
Clasificación por grupos de redes “Aspectos comunes”
En términos de redes para la agro-exportación, puede reconocerse

que éstas tienen muy poca antigüedad (esto es así contando su
edad desde que comienzan a exportar).
Esta situación, de una parte, limita el realizar apreciaciones sobre la

madurez de las redes (de ver su evolución con el paso de los años),
y de otra, sobre el nivel de consolidación de estos entes como
empresas (de asociaciones informales hasta redes consolidadas y
directamente vinculadas con el mercado externo).
La afinidad cultural es también característica común en los

integrantes de cada red que se agrupa. También lo es, el escaso
apoyo del sector público.

autor.
Aspectos diferentes
La otra situación a tomar en cuenta y que marca la clasificación que
aquí se adopta, tiene que ver con el tamaño de la propiedad
individual que se agrupa, y con el tipo del mercado al cual se
exporta. Ello conduce a la siguiente clasificación que será
considerada para el análisis.
3.2 AUDITORÍA A SISTEMAS
Auditoría de Sistemas:
Se encarga de llevar a cabo la evaluación de normas, controles,
técnicas y procedimientos que se tienen establecidos en una
empresa para lograr confiabilidad, oportunidad, seguridad y
confidencialidad de la información que se procesa a través de los
sistemas de información.
La auditoría de sistemas es una rama especializada de la auditoría
que promueve y aplica conceptos de auditoría en el área de
La auditoría de los sistemas de información se define como
cualquier auditoría que abarca la revisión y evaluación de todos los
aspectos (o de cualquier porción de ellos) de los sistemas
automáticos de procesamiento de la información, incluidos los
procedimientos no automáticos relacionados con ellos y las
interfaces correspondientes.
El objetivo final que tiene el auditor de sistemas es dar
recomendaciones a la alta gerencia para mejorar o lograr un
adecuado control interno en ambientes de tecnología informática
con el fin de lograr mayor eficiencia operacional y administrativa.

autor.
Objetivos específicos de la auditoria de sistemas:
1. Participación en el desarrollo de nuevos sistemas:
 evaluación de controles
 cumplimiento de la metodología.
2. Evaluación de la seguridad en el área informática.

3. Evaluación de suficiencia en los planes de contingencia.
 respaldos, preveer qué va a pasar si se presentan fallas.
4. Opinión de la utilización de los recursos informáticos.
 resguardo y protección de activos.
5. Control de modificación a las aplicaciones existentes.
 fraudes
 control a las modificaciones de los programas.
6. Participación en la negociación de contratos con los proveedores.

7. Revisión de la utilización del sistema operativo y los programas
 utilitarios.
 control sobre la utilización de los sistemas operativos
 programas utilitarios.
8. Auditoría de la base de datos.
 estructura sobre la cual se desarrollan las aplicaciones...
9. Auditoría de la red de teleprocesos.

10. Desarrollo de software de auditoría.
Es el objetivo final de una auditoría de sistemas bien implementada,
desarrollar software capaz de estar ejerciendo un control continuo
de las operaciones del área de procesamiento de datos.

autor.
Fines de la auditoria de sistemas:

1. Fundamentar la opinión del auditor interno (externo) sobre la
confiabilidad de los sistemas de información.
2. Expresar la opinión sobre la eficiencia de las operaciones en el
área de TI.
Similitudes y diferencias con la auditoría tradicional:

Similitudes:
 No se requieren nuevas normas de auditoría, son las mismas.
 Los elementos básicos de un buen sistema de control

contable interno siguen siendo los mismos; por ejemplo, la
adecuada segregación de funciones.
 Los propósitos principales del estudio y la evaluación del

control contable interno son la obtención de evidencia para
respaldar una opinión y determinar la base, oportunidad y
extensión de las pruebas futuras de auditoría.
Diferencias:
 Se establecen algunos nuevos procedimientos de auditoría.
 Hay diferencias en las técnicas destinadas a mantener un

adecuado control interno contable.
 Hay alguna diferencia en la manera de estudiar y evaluar el

control interno contable. Una diferencia significativa es que en
algunos procesos se usan programas.
 El énfasis en la evaluación de los sistemas manuales esta en

la evaluación de transacciones, mientras que el énfasis en los
sistemas informáticos, está en la evaluación del control
interno.
Aspectos del medio ambiente informático que afectan el enfoque

de la auditoria y sus procedimientos.
 Complejidad de los sistemas.

autor.
 uso de lenguajes.
 metodologías, son parte de las personas y su experiencia.
 Centralización.
 departamento de sistemas que coordina y centraliza todas las

operaciones relaciones los usuarios son altamente
dependientes del área de sistemas.
 Controles del computador.
Controles manuales, hoy automatizados (procedimientos

programados) .
 Confiabilidad electrónica.
 debilidades de las máquinas y tecnología.
 Transmisión y registro de la información en medios

magnéticos, óptico y otros.
 almacenamiento en medios que deben acceder a través del

computador mismo.
 Centros externos de procesamiento de datos.
 Dependencia externa.

autor.
3.2.1 CHECKLIST DE SEGURIDAD
Un check list o lista de verificación, es un documento que detalla

uno por uno distintos aspectos que se deben, comprobar, verificar,
etc.
Un check list también puede definirse como la creación de criterios

de comprobación en forma de una lista, cuya observación garantiza,
que nada salga mal en su acción de marketing directo. Lo mejor es
que elabore su lista de comprobación siguiendo el método paso - a -
paso. Tachar por medio de una cruz o incluir los diversos puntos
garantiza que ningún detalle importante se quede en el tintero.
El auditor profesional tiene claro lo que necesita saber a partir de

las politicas de la empresa, y el por qué. Sus cuestionarios son
vitales para el trabajo de análisis y síntesis posterior, el auditor
conversará y hará preguntas "normales", que en realidad servirán
para la completación sistemática de sus Cuestionarios, de sus
Checklists, los cuales serviran para tomar medidas si fuesen
necesarias o para aplicar plnes de contingencias.
Los Checklists deben o pueden ser contestadas oralmente, o solo

seran un control no verbal de solo ticks, verificando en "terreno" si
secumplen las normativas.
El auditor, por su parte, tomará las notas imprescindibles en

presencia del auditado para mas tranquilidad de él, lo que genera
un clima mas relajado, pero dependiendo de la política de la
empresa podría darse que un cuestionario conste de cruces
,marcas, cuestionarios en su presencia.
No existen Checklists estándar para todas y cada una de las

instalaciones informáticas a auditar. Cada una de ellas posee
peculiaridades que hacen necesarias adaptaciones
correspondientes en las preguntas a realizar.
En nuestro caso podríamos aplicar el siguiente checklist, por

ejemplo:

autor.
Políticas de Passwords :
El Administrador puede forzar a los usuarios a cumplir ciertas reglas
en la configuración de sus cuentas.
Algunas de las medidas más utilizadas son:
Longitud máxima y mínima de la contraseña.(cumple el largo

dterminado)
Duración máxima de la contraseña.(por ejemplo 6 meses)
Histórico de la contraseña.(se guardan las contraseñas en desuso?)
Bloqueo tras sucesivos fallos de login.
Combinación de caracteres en la contraseña.
Otros objetivos del checklist podrian ser:
* Auditoría de cuentas de usuario:

 Inicio y cierre de sesión.
 Acceso a ficheros, directorios o impresoras.
 Ejercicio de los derechos de un usuario.
 Seguimiento de procesos.
 Inicio, reinicio y apagado del sistema.
*Auditoría del sistema de archivos:

 Rastrea sucesos del sistema de archivos
 Los sucesos que se pueden auditar
 Cambio de permisos y Toma de posesión.
*Auditoría de impresoras:
 Registro de sucesos de aplicaciones.
 Registro de sucesos de seguridad.
 Registro de sucesos del sistema

autor.
*Seguridad en Red
 Tipo de protocolos:
o NetBEUI
o TCP/IP
*Y los mas basico es:

 Cuenta por lo menos con la penúltima versión de Service
Pack's
*Cortafuegos
 Tipo y características del cortafuego.

autor.
3.2.2 BASELINE DEL SISTEMA
Baseline del sistema es un instrumento que nos servirá para forzar

al sistema a que arranque con una determinada configuración.
Independientemente de que cualquier usuario intente borrar

archivos, instalar programas o hacer cualquier cosa en el PC, con
Baseline podremos resetear el Pc a la configuración base deseada,
y asegurarnos de que estará perfectamente disponible para el
siguiente usuario.
De esta forma, Baseline se convierte en una herramienta de

seguridad y gestión del sistema idónea para estaciones de trabajo o
equipos compartidos por diversos usuarios, que necesiten estar
siempre a punto con unas determinadas características.
Un base line es un conjunto de reglas establecidas que forman una

base de normas o prácticas sobre un proceso o sistema.
Estas normas o prácticas son establecidas normalmente como una

base de comparación entre organizaciones o empresas para
verificar un nivel de cumplimiento.
Para poder establecer un base line, se requieren varios elementos:
- basarse en algunos estándares internacionales o mejores

prácticas,
- normas publicadas por algunas organizaciones reconocidas
internacionalmente y
- experiencias obtenidas por la práctica en las organizaciones.
- Establecer un base line en seguridad de información, requiere
mucha experiencia y madurez, no es muy práctico solo “copiar”
base line de otras organizaciones dado que cada organización
es diferente, tiene necesidades diferentes de acuerdo a sus
niveles de madurez y necesidades.
- Generalmente están listados en orden de importancia aunque
pueden no serlo.
• Para cada activo de información y sistema de información

debe existir una bitácora externa al mismo para el registro de
usuarios autorizados para acceder a los mismos.

autor.
•
Debe establecerse procedimientos para verificar que el nivel de
acceso concedido es apropiado para el propósito de negocio y que
sea consistente con la directriz de control de acceso.
• El procedimiento de creación de usuarios debe indicar como

se otorga la autorización requerida antes de otorgar el acceso
solicitado.
• El formato de solicitud de autorización para dar de alta o
modificación de un usuario a un activo con los siguientes
campos:
– Nombre del usuario
– Sistema o aplicación al cual requiere acceso,
revocación o modificación.
– Organización a la que pertenece
– Privilegios solicitados
– Gerencia que solicita el acceso
• El usuario final que se le brinda el acceso debe recibir una

notificación con el permiso otorgado, privilegios y
responsabilidades asociadas a la cuenta o en su defecto la
razón por la que fue denegado el acceso
• Se debe asegurar no proporcionar accesos hasta no

completar los procedimientos de autorización establecidos.
• Se debe mantener un registro formal de todas las personas
registradas con derecho a usar los activos de información o

autor.
3.2.3 AUDITORÍA A LAS POLÍTICAS DEL SISTEMA
La seguridad informática ha tomado gran auge, debido a las

cambiantes condiciones y nuevas plataformas tecnológicas
disponibles. La posibilidad de interconectarse a través de redes, ha
abierto nuevos horizontes ha las empresas para mejorar su
productividad y poder explorar más allá de las fronteras nacionales,
lo cual lógicamente ha traído consigo, la aparición de nuevas
amenazas para los sistemas de información.
Estos riesgos que se enfrentan ha llevado a que muchas
desarrollen documentos y directrices que orientan en el uso
adecuado de estas destrezas tecnológicas y recomendaciones para
obtener el mayor provecho de estas ventajas, y evitar el uso
indebido de la mismas, lo cual puede ocasionar serios problemas a
los bienes, servicios y operaciones de la empresa.
En este sentido, las políticas de seguridad informática surgen como
una herramienta organizacional para concientizar a los
colaboradores de la organización sobre la importancia y sensibilidad
de la información y servicios críticos que permiten a la empresa
crecer y mantenerse competitiva.
Ante esta situación, el proponer o identificar una política de
seguridad requiere un alto compromiso con la organización,
agudeza técnica para establecer fallas y debilidades, y constancia
para renovar y actualizar dicha política en función del dinámico
ambiente que rodea las organizaciones modernas.
Definición de Políticas de Seguridad Informática
Una política de seguridad informática es una forma de comunicarse
con los usuarios, ya que las mismas establecen un canal formal de
actuación del personal, en relación con los recursos y servicios
informáticos de la organización.
No se puede considerar que una política de seguridad informática
es una descripción técnica de mecanismos, ni una expresión legal
que involucre sanciones a conductas de los empleados, es más
bien una descripción de los que deseamos proteger y él por qué de
ello, pues cada política de seguridad es una invitación a cada uno
de sus miembros a reconocer la información como uno de sus
principales activos así como, un motor de intercambio y desarrollo
en el ámbito de sus negocios.

autor.
Por tal razón, las políticas de seguridad deben concluir en una

posición consciente y vigilante del personal por el uso y limitaciones
de los recursos y servicios informáticos.
Elementos de una Política de Seguridad Informática
Como una política de seguridad debe orientar las decisiones que se
toman en relación con la seguridad, se requiere la disposición de
todos los miembros de la empresa para lograr una visión conjunta
de lo que se considera importante.
Las Políticas de Seguridad Informática deben considerar
principalmente los siguientes elementos:
o Alcance de las políticas, incluyendo facilidades,
sistemas y personal sobre la cual aplica.
o Objetivos de la política y descripción clara de los
elementos involucrados en su definición.
o Responsabilidades por cada uno de los servicios y
recursos informáticos aplicado a todos los niveles de la
organización.
o Requerimientos mínimos para configuración de la
seguridad de los sistemas que abarca el alcance de la política.
o Definición de violaciones y sanciones por no cumplir con
las políticas.
o Responsabilidades de los usuarios con respecto a la
información a la que tiene acceso.
Las políticas de seguridad informática, también deben ofrecer

explicaciones comprensibles sobre por qué deben tomarse ciertas
decisiones y explicar la importancia de los recursos. Igualmente,
deberán establecer las expectativas de la organización en relación
con la seguridad y especificar la autoridad responsable de aplicar
los correctivos o sanciones.
Otro punto importante, es que las políticas de seguridad deben
redactarse en un lenguaje sencillo y entendible, libre de tecnicismos
y términos ambiguos que impidan una comprensión clara de las
mismas, claro está sin sacrificar su precisión.
Por último, y no menos importante, el que las políticas de seguridad,
deben seguir un proceso de actualización periódica sujeto a los
cambios organizacionales relevantes, como son: el aumento de
personal, cambios en la infraestructura computacional, alta rotación
de personal, desarrollo de nuevos servicios, regionalización de la
empresa, cambio o diversificación del área de negocios, etc.

autor.
Parámetros para Establecer Políticas de Seguridad

Es importante que al momento de formular las políticas de
seguridad informática, se consideren por lo menos los siguientes
aspectos:
o Efectuar un análisis de riesgos informáticos, para valorar
los activos y así adecuar las políticas a la realidad de la
empresa.
o Reunirse con los departamentos dueños de los
recursos, ya que ellos poseen la experiencia y son la principal
fuente para establecer el alcance y definir las violaciones a las
políticas.
o Comunicar a todo el personal involucrado sobre el
desarrollo de las políticas, incluyendo los beneficios y riesgos
relacionados con los recursos y bienes, y sus elementos de
seguridad.
o Identificar quién tiene la autoridad para tomar decisiones
en cada departamento, pues son ellos los interesados en
salvaguardar los activos críticos su área.
o Monitorear periódicamente los procedimientos y
operaciones de la empresa, de forma tal, que ante cambios las
políticas puedan actualizarse oportunamente.
o Detallar explícita y concretamente el alcance de las
políticas con el propósito de evitar situaciones de tensión al
momento de establecer los mecanismos de seguridad que
respondan a las políticas trazadas.
Razones que Impiden la Aplicación de las Políticas de Seguridad

Informática
A pesar de que un gran número de organizaciones canalizan sus
esfuerzos para definir directrices de seguridad y concretarlas en
documentos que orienten las acciones de las mismas, muy pocas
alcanzan el éxito, ya que la primera barrera que se enfrenta es
convencer a los altos ejecutivos de la necesidad y beneficios de
buenas políticas de seguridad informática.
Otros inconvenientes lo representan los tecnicismos informáticos y
la falta de una estrategia de mercadeo por parte de los Gerentes de
Informática o los especialistas en seguridad, que llevan a los altos
directivos a pensamientos como: "más dinero para juguetes del
Departamento de Sistemas".

autor.
Esta situación ha llevado a que muchas empresas con activos muy

importantes, se encuentren expuestas a graves problemas de
seguridad y riesgos innecesarios, que en muchos casos
comprometen información sensitiva y por ende su imagen
corporativa. Ante esta situación, los encargados de la seguridad
deben confirmar que las personas entienden los asuntos
importantes de la seguridad, conocen sus alcances y están de
acuerdo con las decisiones tomadas en relación con esos asuntos.
Si se quiere que las políticas de seguridad sean aceptadas, deben
integrarse a las estrategias del negocio, a su misión y visión, con el
propósito de que los que toman las decisiones reconozcan su
importancia e incidencias en las proyecciones y utilidades de la
compañía.
Finalmente, es importante señalar que las políticas por sí solas no
constituyen una garantía para la seguridad de la organización, ellas
deben responder a intereses y necesidades organizacionales
basadas en la visión de negocio, que lleven a un esfuerzo conjunto
de sus actores por administrar sus recursos, y a reconocer en los
mecanismos de seguridad informática factores que facilitan la
formalización y materialización de los compromisos adquiridos con
la organización.

autor.
3.2.4 AUDITORÍA A USUARIOS.
Por defecto, cuando la auditoría del sistema está activada, el estado

de auditoría es activado para todos los usuarios. Se somete
automáticamente a auditoría a los usuarios nuevos agregados al
sistema.
Puede supervisar qué usuarios están utilizando los sistemas HP-UX

mediante la auditoría. Para cambiar los usuarios que se auditan,
elija una de las siguientes opciones:
 Auditar todos los usuarios.

Por defecto, el estado de auditoría está activado para todos los
usuarios cuando el sistema de auditoría está activado. Se somete
automáticamente a auditoría a los usuarios nuevos agregados al
sistema.
Las auditorías de errores generan una entrada de auditoría cuando
un usuario intenta obtener acceso sin éxito a un objeto. La
habilitación de la auditoría del acceso del servicio de directorio y la
configuración en los objetos de directorio puede generar un gran
volumen de entradas en los registros de seguridad de los
controladores de dominio, sólo debería habilitar esos valores si
realmente desea utilizar la información creada.
Recuerde que puede establecer en un objeto de utilizando la ficha
Seguridad del cuadro de diálogo Propiedades de ese objeto.

autor.
3.2.5 COMANDOS DEL SISTEMA
Planificación de la puesta en ejecución de la auditoría

Para planificar la puesta en ejecución de la auditoría, dé los
siguientes pasos:
1. Determine los usuarios que va a auditar. Por defecto, se

seleccionan todos los usuarios para la auditoría.
2. Determine los sucesos o llamadas de sistema para auditar.

Utilice el comando audevent para mostrar una lista de
sucesos y llamadas de sistema que están seleccionados
actualmente para auditoría.
Los sucesos y las llamadas de sistema se pueden agrupar en

perfiles.
3. Decida dónde desea colocar los archivos de registro de

auditoría (rastros de auditoría) en el sistema. Para obtener
más información sobre la configuración de los archivos de
registro de auditoría, consulte la Sección .
4. Cree una estrategia para archivar y hacer una copia de

seguridad de los archivos de auditoría. Los archivos de
auditoría ocupan, a menudo, mucho espacio en disco y se
pueden desbordar si no se planifica detenidamente la
administración de los archivos. Utilice la opción -X con el
comando audomon para automatizar el archivo.
Para obtener información adicional sobre la administración y el

rendimiento del sistema de auditoría que le puede ayudar a
planificar la puesta en ejecución de la auditoría, consulte la Sección
y la Sección.

autor.
Habilitación de la auditoría
Para habilitar la auditoría en el sistema, dé los siguientes pasos:

1. Configure los usuarios que desea auditar utilizando el
comando userdbset. Para obtener más información sobre la
configuración de la auditoría para los usuarios, consulte la
Sección .
2. Configure los sucesos que desea auditar utilizando el
comando audevent. Por ejemplo, para efectuar una auditoría
según MySitePolicy, escriba el siguiente comando:
# audevent -P -F -r MySitePolicy
5. MySitePolicy se debe definir en el archivo
/etc/audit/audit_site.conf.
6. Utilice el comando audevent sin opciones para mostrar una
lista de sucesos y llamadas de sistema que están
configurados actualmente para auditoría.
7. Para obtener más información sobre la configuración de la
auditoría para los sucesos, consulte la Sección .
8. Defina los parámetros del argumento audevent en el
archivo/etc/rc.config.d/auditing para habilitar el sistema de
auditoría a fin de conservar los parámetros de configuración
actuales cuando el sistema se reinicia.
Por ejemplo, para conservar los parámetros configurados en
el paso 2, defina los parámetros del modo siguiente:
AUDEVENT_ARGS1 = –P –F –r MySitePolicy
9. Inicie el sistema de auditoría y defina los rastros de auditoría
utilizando el comando audsys:
#audsys -n -c archivo_auditoría_principal -s 1000
12. Configure los archivos de registro y los parámetros de
conmutación de archivos de registro en el archivo
/etc/rc.config.d/auditing. Dé los pasos siguientes:
a. Defina PRI_AUDFILE en el nombre del archivo de
registro de auditoría principal.
b. Defina PRI_SWITCH en el tamaño máximo del archivo
de registro de auditoría principal (en KB), en el que el
registro de auditoría conmuta a un archivo de registro
auxiliar.
c. Defina SEC_AUDFILE en el nombre del archivo de
registro auxiliar.

autor.
d. Defina SEC_SWITCH en el tamaño máximo del archivo

de registro de auditoría secundario (en KB).
Para obtener más información sobre cómo configurar los archivos
de registro de auditoría principal y auxiliar, consulte la Sección .
13. Inicie el demonio audomon si todavía no se ha iniciado.
El demonio audomon supervisa el crecimiento del rastro de
auditoría actual y conmuta a un rastro de auditoría alternativo
siempre que sea necesario. Por ejemplo:
#audomon -p 20 -t 1 -w 90 -X "/usr/local/bin/rcp_audit_trail
hostname"
16. Para obtener más información sobre la configuración del
demonio audomon, consulte la Sección .
17. Defina el parámetro del argumento audomon en el
archivo /etc/rc.config.d/auditing para conservar la
configuración actual entre los reinicios del sistema.
18. Defina el indicador AUDITING en 1 en el archivo
/etc/rc.config.d/auditing para habilitar al sistema de auditoría
para que comience automáticamente cuando se inicie el
sistema.
Deshabilitación de la auditoría
Para deshabilitar la auditoría en el sistema, dé los siguientes pasos:
1. Detenga la auditoría del sistema con el siguiente comando:
#audsys -f
4. Defina el indicador AUDITING en 0 en el archivo
/etc/rc.config.d/auditing para evitar que el sistema de auditoría
comience cuando se reinicie el sistema.
5. (Opcional) Para detener el demonio audomon, escriba:
# kill `ps -e | awk '$NFS~ /audomon/ {print $1}'`
8. Utilice este paso sólo si desea reconfigurar el demonio
audomon. Para reconfigurar y reiniciar el demonio audomon,
dé el paso 6 y el paso 7 según se describe en la
Sección .
Supervisión de los archivos de auditoría

Para consultar, supervisar y administrar los archivos de auditoría,
dé los siguientes pasos:
1. Visualice los archivos de registro de auditoría con el comando
audisp:

autor.
# audisp archivo_auditoría
4. Para obtener detalles sobre cómo utilizar el comando audisp,
consulte la sección «Consulta de los archivos de registro de
auditoría».
5. Defina los argumentos de supervisión del archivo de registro
de auditoría en el archivo /etc/rc.config.d/auditing. Defina los
mismos valores utilizados en el paso 2.
6. (Opcional) Detenga la auditoría del sistema con el siguiente
comando:
#audsys –f
9. (Opcional) Defina el indicador AUDIT en 0 en el archivo
/etc/rc.config.d/auditing para que no se inicie el sistema de
auditoría en el próximo reinicio del sistema.
Consideraciones sobre el rendimiento
La auditoría aumenta la sobrecarga del sistema. Cuando el

rendimiento sea motivo de preocupación, sea selectivo a la hora de
elegir los sucesos y los usuarios para auditar. Esto puede contribuir
a atenuar el impacto de la auditoría en el rendimiento.

autor.
Pautas para administrar el sistema de auditoría
Utilice las siguientes pautas cuando administre el sistema:
 Compruebe los registros de auditoría según la directiva de

seguridad. Los archivos de auditoría en línea deben
conservarse durante al menos 24 horas y todos los registros
de auditoría almacenados sin conexión deben preservarse
durante un mínimo de 30 días.
 Examine el archivo de registro de auditoría en busca de
actividades poco comunes, como: inicios de sesión nocturnos,
errores de inicio de sesión, errores de acceso a los archivos
del sistema e intentos infructuosos para llevar a cabo tareas
relacionadas con la seguridad.
 Archive diariamente para evitar que el archivo de auditoría se
desborde.
 Revise cada cierto tiempo los sucesos seleccionables
actuales, sobre todo después de instalar revisiones nuevas de
HP-UX, ya que es frecuente que se incorporen llamadas del
sistema nuevas a las revisiones nuevas.
 Revise cada cierto tiempo la selección de usuarios para
auditar.
 No siga ningún modelo ni programa en cuanto a la selección
de sucesos o usuarios.
 Defina las pautas que han de seguirse en el emplazamiento.
Implique a los usuarios y a la dirección en el establecimiento
de dichas pautas.
 Si se prevé un volumen alto de datos de auditoría, configure
los rastros de auditoría en un volumen lógico que conste de
varios discos físicos y varias tarjetas de E/S. Utilice la opción -
N con el comando audsys para dividir el rastro de auditoría en
varios archivos.

autor.
3.2.6 HERRAMIENTAS PARA REALIZAR AUDITORÍA

autor.
3.2.7 AUDITORÍA A LOS REGISTROS Y BITÁCORAS DEL

SISTEMA
Registro de auditoría.
Unidad discreta de datos registrados en la pista de auditoría

sobre la ocurrencia de un suceso. Un registro de auditoría
consiste en un conjunto de descriptores, cada uno de los
cuales tiene un conjunto de atributos asociados. Cada registro
tiene siempre un descriptor de auditoría para los campos de
cabecera y, normalmente, un descriptor de auditoría adicional,
que detalla el (los) sujeto(s) y objeto(s) involucrados en el
suceso.
Registro de auditoría de seguridad
Conjunto de datos recogidos, y si procede usados, para llevar

a cabo una auditoría de seguridad (ISO ISO-7498-2).
Es término sinónimo de "registro de auditoría".
Monitoreo en bitácoras
Generalmente no deseamos permitir a los usuarios ver los archivos

de bitácoras de un servidor, y especialmente no queremos que sean
capaces de modificarlos o borrarlos. Normalmente la mayoría de los
archivos de bitácoras serán poseídos por el usuario y grupo root, y
no tendrán permisos asignados para otros, así que en la mayoría de
los casos el único usuario capaz de modificar los archivos de
bitácoras será el usuario root.
Debido a la cantidad de información que se genera en la bitácoras,

siempre es bueno adoptar algún sistema automático de monitoreo,
que levante las alarmas necesarias para cuando algún evento
extraño suceda.
El sistema operativo Debian utiliza LogCheck para realizar el
análisis y monitoreo de bitácoras, RedHat emplea LogWatch, etc.

autor.
3.2.8 AUDITORÍA A LA CONFIGURACIÓN DEL SISTEMA
Auditoría de Sistemas:
Se encarga de llevar a cabo la evaluación de normas, controles,
técnicas y procedimientos que se tienen establecidos en una
empresa para lograr confiabilidad, oportunidad, seguridad y
confidencialidad de la información que se procesa a través de los
sistemas de información. La auditoría de sistemas es una rama
especializada de la auditoría que promueve y aplica conceptos de
auditoría en el área de sistemas de información.
La auditoría de los sistemas de información se define como
cualquier auditoría que abarca la revisión y evaluación de todos los
aspectos (o de cualquier porción de ellos) de los sistemas
automáticos de procesamiento de la información, incluidos los
procedimientos no automáticos relacionados con ellos y las
interfaces correspondientes.
El objetivo final que tiene el auditor de sistemas es dar
recomendaciones a la alta gerencia para mejorar o lograr un
adecuado control interno en ambientes de tecnología informática
con el fin de lograr mayor eficiencia operacional y administrativa.

autor.
3.2.9 AUDITORÍA A LA CAPACIDAD DE RECUPERACIÓN

ANTE DESASTRES
Recuperación de desastres.
El objetivo de esta revisión es analizar y evaluar las políticas y
procedimientos relacionados a la planificación de contingencia para
asegurar la capacidad del ente para responder eficazmente ante
desastres y otras situaciones de emergencia. Para conseguirlo, el
equipo de auditoría realiza lo siguiente:
a) Revisión del plan de contingencia
Primero es necesario obtener una copia del plan o manual de
recuperación de desastre y hacer lo siguiente: Realizar un muestreo
de las copias distribuidas del manual y verificar que están
actualizadas. Evaluar la eficacia de los procedimientos
documentados para iniciar el esfuerzo de recuperación de desastre,
planteándose preguntas como las siguientes:
1) ¿Identifica el plan los puntos de reunión del comité de
administración de desastre o del equipo de
administración de emergencia para que se reúnan y
decidan si debe iniciarse la recuperación de desastre?
2) ¿Son adecuados los procedimientos documentados para
una recuperación exitosa?
3) ¿Trata el plan de desastres de diverso grado?
Revisar la identificación y el soporte planificado de las aplicaciones
críticas, incluyendo sistemas basados en Pc o desarrollados por
usuarios finales para esto:
4) Determine si se han revisado todas las aplicaciones en

busca de su nivel de tolerancia en caso de un desastre.
5) Determine si se han identificado todas las aplicaciones
críticas, (incluyendo aplicaciones en PC).
6) Determine si en el "Hot Site" tiene las versiones
correctas de sistema operativo.

autor.
Revisar la corrección e integridad de la lista de personal de

recuperación de desastre, contactos de emergencia con el "Hot
Site", contactos de emergencia con proveedores, etc.
1) En la practica se sugiere realizar llamadas a una muestra de la
gente indicada y verifique que los números de teléfono y domicilios
son correctos y que posean copia del manual de recuperación de
desastre.
2) Entrevistar al personal para obtener una comprensión de las
responsabilidades que tienen asignadas en una situación de
desastre.
Evaluar procedimientos para actualizar el manual. ¿Se aplican y
distribuyen las actualizaciones de manera oportuna?. ¿Existen
responsabilidades específicas respecto a mantener el manual
actualizado?.
Determinar si los elementos necesarios para la reconstrucción de la
instalación de procesamiento de información se almacenan en otra
sede (planos, inventario de hardware, diagramas de cableado, etc.
b) Evaluación del almacenamiento en sede alternativa.
Debe evaluarse la instalación de almacenamiento en sede
alternativa para asegurarse de la presencia, sincronización y
actualización de los medios magnéticos y documentación críticas.
Ello incluirá archivos de datos, software de aplicaciones,
documentación de aplicaciones, software de sistemas,
documentación de sistemas, documentación de operaciones,
insumos necesarios, formularios especiales, y una copia del plan de
contingencia. Para verificar las condiciones que se mencionaron, el
auditor de sistemas debe realizar un examen detallado de
inventario.
Ese inventario debe incluir poner a prueba los nombres de correctos
de los archivos, identificación de cintas o cassettes, ubicación
correcta en los depósitos de las cintas o cassettes así como una
revisión de la documentación y verificar que corresponda con
documentación actualizada.

autor.
c) Revisión de cobertura de seguros.

Es esencial que la cobertura de seguros refleje el costo actual de la
recuperación, por ende debe revisarse la adecuación de la
cobertura de seguros para daños a medios magnéticos, interrupción
de negocio, reemplazo del equipo, y procesamiento de
contingencia. A fin de determinar la adecuación, obtenga una copia
de las pólizas de seguros de la empresa y evalúe la adecuación de
la cobertura.
d) Conocimientos de los procedimientos de recuperación por parte
del personal.
El auditor de sistemas debe entrevistar al personal clave que se
necesita para la recuperación con éxito de las operaciones del
negocio. Todo el personal clave debe tener una comprensión de las
responsabilidades asignadas, así como documentación detallada y
actualizada que describe sus tareas.
e) Seguridad física en la instalación en sede alternativa.
Debe evaluarse la seguridad física en la instalación alternativa, para
asegurarse de que tiene controles de acceso como ambientes
apropiados, tales controles incluyen la capacidad de limitar el
acceso solo a los usuarios autorizados de la instalación, piso sobre
elevado, controles de humedad, controles de temperatura, circuitos
especializados, fuente ininterrumpida de energía, dispositivos de
detección de agua, detectores de humo y un sistema adecuado de
extinción de incendios. El auditor de sistemas debe hacer un
examen del equipo en busca de etiquetas de inspección y
calibración vigentes.
f) Examen del contrato de procesamiento alternativo.
Debe revisarse el contrato con el proveedor de la instalación de
procesamiento alternativo, teniendo en cuenta lo siguiente: Que el
proveedor sea confiable y de prestigio. Que el proveedor ponga por
escrito todo lo que promete. Asegurarse de que el contrato es claro
y es comprensible para un Juez. Asegurarse de que se puede
continuar trabajando con las reglas que son aplicables cuando se
tenga que compartir la sede con otros suscriptores. Asegurarse que
la cobertura de seguro se vincula y cubre todos o la mayoría de
gastos del desastre. Prestar atención a los requerimientos de
comunicaciones para la sede alternativa.

autor.
3.2.10 ANÁLISIS DE LA INFORMACIÓN Y RESULTADOS
Cuando haya terminado de usar los métodos y herramientas

seleccionados para su estudio, tendrá información almacenada en
cuadernos, archivos e índices organizada cronológicamente o por
método usado, o ambos. Este capítulo trata sobre los procesos que
permiten analizar la información recopilada; verificar su confiabilidad
mediante la triangulación; interpretar y comprender los resultados; y
presentar y usar los resultados. Debido a que la documentación es
uno de los resultados más importantes de un estudio de evaluación
de la higiene se demuestra, en términos prácticos, cómo la
investigación y el análisis se vinculan con la redacción de informes
Análisis e interpretación de los resultados
Hay cuatro etapas principales en el análisis e interpretación de la

información cualitativa. Estos se tratan más detalladamente en
varios textos, incluidos Patton (1986, 1990), Miles y Huberman
(1994) y Silverman (1994). Aquí nos centraremos más en las tareas
prácticas que en los temas teóricos.
Análisis descriptivo
La descripción y análisis de la información cualitativa están

estrechamente vinculados, de ahí la frase análisis descriptivo. Este
análisis incluye una descripción de la finalidad del estudio, la
localidad y personas comprometidas, y sus generalidades
usualmente se presentan en la introducción del informe. El análisis
descriptivo se centra en cómo, dónde y quién recolectó la
información, lo cual implica revisar la información, identificar
vínculos, patrones y temas comunes, ordenar los hechos y
presentarlos como son, sin agregar ningún comentario sobre su
importancia. En el informe, esto se presenta generalmente en la
sección de Resultados. El orden de los resultados puede ser
cronológico, según la secuencia de observación de los hechos, o
jerárquico, de acuerdo a la importancia de los temas. La
introducción y la sección del análisis descriptivo (resultados) del
informe deben responder las siguientes preguntas básicas:

autor.
La sección de la introducción
•¿Dónde se realizó el estudio? ¿Cuáles son las condiciones físicas

y climáticas?
•¿Cuándo se realizó el estudio? ¿Por qué?
•¿Cuáles fueron los objetivos y los resultados esperados del

estudio?
•¿Quién realizó el estudio? ¿Qué métodos y herramientas se

usaron? ¿Por que ?
•¿Cómo participaron las personas en el estudio? ¿Qué grupos

étnicos, idiomas u otros grupos participaron? ¿Cómo se compara el
nivel de participación logrado en su estudio con el carácter distintivo
de la participación comunitaria?
Sección de resultados
Incluirá resultados en cuanto a:
• método y herramienta de investigación usados;
• núcleo de prácticas de higiene;
• cualquier otro orden relevante.
En el análisis descriptivo se debe incluir detalles suficientes para

permitir que el lector vea qué pasos siguió en la investigación, cómo
tomó decisiones metodológicas o cambios de dirección y por qué.
Recuerde que los hechos tienen que presentarse de manera clara,
coherente y completa antes de que puedan ser interpretados. Una
característica muy importante del análisis es la verificación, seguida
de la verificación cruzada de la información a fin de establecer la
calidad y confiabilidad de los resultados.
Trataremos esto por separado y con más detalle en «Confiabilidad
de la información».

autor.
Interpretación
La segunda etapa es determinar el significado de los resultados y
cuán significativos son en su contexto especifico.
Las razones que motivan ciertas prácticas de higiene y la influencia
de los factores socioculturales sobre ellas pueden analizarse con el
aporte de las múltiples perspectivas del equipo de estudio.
Tomando como base los resultados, también pueden explorarse
temas más amplios que vinculen las prácticas de higiene con la
salud.
A continuación se presentan algunas de las preguntas que deben
ser respondidas por el equipo de estudio al interpretar los
resultados del estudio:
•¿Qué significan los resultados?
•¿Cómo surgieron los resultados?
•¿Cuáles son las posibles explicaciones de los resultados'?
•¿Se ha respondido a todos los por qué ? ¿Algunos requieren
investigación adicional?
Idealmente, la interpretación de los resultados debe reflejar los
comentarios y sugerencias hechas por la población durante las
sesiones de retroalimentación sobre el uso de métodos y
herramientas analíticos y de investigación que se han descrito en
los capítulos 5 y 6. Esto ayudará a minimizar los prejuicios que
pudieran influir en la interpretación de los resultados y asegurará
que se tome en cuenta el contexto de la información.

autor.
Juicio
El análisis descriptivo y la interpretación de los resultados, en último
término, permiten evaluar los resultados como positivos, negativos o
ambos y determinar sus razones.
Los valores del equipo de estudio y de las partes interesadas

influyen en los resultados del estudio.
Por ejemplo, los resultados pueden indicar qué es bueno, malo,
aconsejable o indeseable respecto a cómo el proyecto ha
promovido un mejor abastecimiento de agua, saneamiento, higiene
y salud o cómo han respondido las personas a las intervenciones
externas y por qué.
En este sentido, las preguntas que deben responderse son:
•¿Cuál es la importancia de los resultados para los diversos

interesados en este entorno especifico?
•¿para el proyecto?
•¿para la población estudiada?
•¿para los investigadores interesados en los vínculos entre
determinadas prácticas de higiene y la salud?
Generalmente, la interpretación y juicio de los resultados se

presentan en la sección Discusiones de un informe Es importante
lograr un equilibrio justo entre los aspectos positivos y negativos.
Los resultados positivos deben recalcarse sin dejar de lado los
negativos.
De igual manera, los resultados negativos no sólo deben
enumerarse, sino discutirse de modo que exploren posibles
soluciones prácticas o remedios factibles. La sección de
discusiones debe preceder a las conclusiones, las que pueden
presentarse en la misma sección o por separado.

autor.
Recomendaciones
La cuarta etapa es formular algunas recomendaciones para la
acción basadas en el análisis, interpretación y juicio de los
resultados del estudio. La sección de Recomendaciones de un
informe generalmente debe seguir a la discusión y conclusiones y
debe abordar las siguiente preguntas.
•¿Cuáles son las implicaciones de los resultados, basadas en su

análisis, interpretación y juicio? ¿Cuáles son las deducciones:
• para su proyecto especifico?
• para otros proyectos que puedan estar interesados en aprender de
sus resultados?
• para otras partes interesadas, como los investigadores?
•¿Qué debe hacer su proyecto y otros interesados con los
resultados de su estudio?
Mientras mas partes interesadas participen en la interpretación y
juicio de los resultados del estudio, más fácil será reflejar sus
intereses en las recomendaciones. Las sugerencias prácticas y
factibles deben incluirse claramente en las recomendaciones.
Confiabilidad de la información
Los criterios para establecer la confiabilidad de los datos cualitativos

son componentes esenciales del diseño y realización del estudio, lo
que mejora la confiabilidad de la información recogida.
A diferencia de los datos estadísticos, con los cuales se puede
llegar a promedios cuantitativos, los criterios para la confiabilidad de
los datos cualitativos no son un conjunto de pruebas que se aplican
a la información después de haber sido recogida, sino verificaciones
inherentes que se diseñan antes de iniciar la recolección de la
información y que se monitorean durante toda la investigación.
Usted debe ser capaz de juzgar la confiabilidad de la información
mediante la aplicación de los criterios establecidos al momento de
diseñar y realizar el estudio.

autor.
El número de criterios aplicados puede variar de un estudio a otro,

según los recursos (humanos, materiales, tiempo) y otras
limitaciones del estudio. Sin embargo, los siguientes criterios claves
constituyen los requisitos mínimos que deben cumplirse para
establecer la confiabilidad y calidad de la información cualitativa.
• Participación prolongada o intensa del equipo con la población
estudiada. La duración del estudio dependerá de los recursos
disponibles y la familiaridad del equipo con la población. Se puede
hacer mucho en un par de semanas, especialmente si los
trabajadores de campo conocen muy bien a su población de
estudio. Si no, se raqueará un tiempo más largo para que el equipo
se relacione con la población y minimice los prejuicios introducidos
por modales inusuales y la separación innecesaria entre el equipo y
la comunidad.
Sea claro y honesto al informar sobre los prejuicios que pueden
haber influido en el estudio debido al tipo de relación establecida
entre el equipo de estudio y la población.

autor.
3.3 Análisis Forense a Sistemas de Cómputo
¿Qué es la informática forense?
Debido a estos ataques y delitos informáticos que se vienen

presentando hace más de dos décadas, las autoridades policiales
en el mundo tomaron cartas en el asunto, creando laboratorios
informáticos para apoyar las investigaciones judiciales, en pocas
palabras crearon un departamento de computación forense para
analizar las informaciones de la red y sus comportamientos, y poder
atrapar a los delincuentes.
De acuerdo con lo anterior, podemos definir la computación forense

como una rama de la informática que se encarga de recolectar y/o
recopilar información valiosa desde sistemas informáticos (redes,
ordenadores, soportes magnéticos, ópticos, etc) con distintos fines,
sirviendo de apoyo a otras disciplinas o actividades, como son las
labores de criminalística e investigaciones. Estas evidencias que
permite descubrir diferentes datos sirven, por ejemplo, para
condenar o absolver a algún imputado.
Esta rama investigativa tuvo su origen en 1984 cuando el FBI y

otras agencias de Estados Unidos comenzaron a desarrollar
programas para examinar evidencia computacional.
Componentes del análisis forense

• Identificación de la evidencia: los investigadores deben conocer
muy bien los formatos que tiene la información con el fin de saber
cómo extraerla, dónde y cómo almacenarla y preservarla.
• Preservación de la evidencia: es importante que no se generen
cambios en la evidencia al analizarse, sin embargo en algunos
casos donde deba presentarse esos cambios deben ser explicados
ya que toda alteración debe ser registrada y justificada
• Análisis de la evidencia: cada uno de los datos recopilados como
prueba deben ser examinados por expertos en el tema.
• Presentación: las metodologías que se utilicen para la
presentación de los datos analizados deben ser serias, probadas y
confiables.

autor.
Delitos informáticos
Los ataques virtuales y delitos informáticos al igual que los delitos
comunes y corrientes del mundo real, son analizados por unidades
o laboratorios de computación forense en todo el planeta, los cuales
buscan encontrar a los culpables y condenarlos.
En América Latina países como México, Colombia, Chile, Argentina,
Cuba, Venezuela, Brasil, Ecuador, El Salvador, Perú, Guatemala,
Panamá, Paraguay, Perú, República Dominicana y Uruguay,
cuentan con equipos de respuesta de seguridad en cómputo, los
cuales se encargan de la investigación de los casos de cybercrime
que se hayan reportado. Cabe aclarar que algunas empresas no
denuncian sus casos pues temen perder credibilidad, o sufrir
consecuencias de tipo económico u otras similares, como explica el
mayor Fredy Bautista, jefe del grupo de delitos informáticos de la
Dijín, (Dirección de Policía Judicial de Colombia).
Para poner un ejemplo, en lo que va corrido del 2007, en Colombia
las empresas han perdido 6.6 billones de pesos a raíz de delitos
informáticos. De las cuentas de personas naturales se han
sustraído 311 mil millones de pesos, y los casos reportados,
respecto al 2006, se han incrementado en un 71%. .
Dirección de investigación criminal

En Colombia, la informática forense surgió como una ciencia que
apoya las labores investigativas de la Policía Nacional a partir del
2004, con la creación de la que se conoce actualmente como
Dirección de investigación criminal.
Según algunos estudios realizados en el país, y basados en los
casos reportados de ataques virtuales y delitos informáticos, por
entidades gubernamentales, privadas y por el sector bancario, en
Colombia estos eventos, su prevención y procesamiento se están
volviendo cada vez más importantes, motivo por el cual se ha
aumentado el accionar policial y judicial.
En 2004, no sólo se estableció el Gabinete de informática forense,

hoy en día Dirección de investigación criminal, sino que en la
Contraloría delegada para investigaciones, juicios fiscales y
jurisdicción coactiva de la Contraloría General de la República, se

autor.
creó un laboratorio de informática forense, con el fin de determinar

actos ilícitos o fraudes donde el patrimonio del Estado esté en
riesgo.
Con la creación de este laboratorio, la Contraloría fue la primera
entidad en Latinoamérica que contó con estos elementos
investigativos al igual que el FBI, la CIA, la Interpol, la Policía de
New York, la Agencia de Seguridad Israelí, entre otras
instituciones.

autor.
3.3.1 Introducción al Análisis Forense en Sistemas de Cómputo
El cómputo forense, también llamado informática forense,

computación forense, análisis forense digital o examinación forense
digital es la aplicación de técnicas científicas y analíticas
especializadas a infraestructura tecnológica que permiten identificar,
preservar, analizar y presentar datos que sean válidos dentro de un
proceso legal.
Dichas técnicas incluyen reconstruir el bien informático, examinar

datos residuales, autenticar datos y explicar las características
técnicas del uso aplicado a los datos y bienes informáticos.
Como la definición anterior lo indica, esta disciplina hace uso no

solo de tecnología de punta para poder mantener la integridad de
los datos y del procesamiento de los mismos; sino que también
requiere de una especialización y conocimientos avanzados en
materia de informática y sistemas para poder detectar dentro de
cualquier dispositivo electrónico lo que ha sucedido.
La importancia de éstos y el poder mantener su integridad se basa

en que la evidencia digital o electrónica es sumamente frágil. El
simple hecho de darle doble clic a un archivo modificaría la última
fecha de acceso del mismo.
Adicionalmente, un examinador forense digital, dentro del proceso

del cómputo forense puede llegar a recuperar información que haya
sido borrada desde el sistema operativo.
Dispositivos a analizar
La infraestructura informática que puede ser analizada puede ser

toda aquella que tenga una Memoria (informática), por lo que se
pueden analizar los siguientes dispositivos:
 Disco duro de una Computadora o Servidor

 Teléfono Móvil o Celular, parte de la telefonía celular
 Agendas Electrónicas (PDA)
 Dispositivos de GPS
 Impresoras
 Memorias USB

autor.
 Las evidencias electrónicas son datos que de manera digital

 se encuentran almacenados o fueron transmitidos mediante
 equipos informáticos y que son recolectados mediante
herramientas técnicas especializadas empleadas por un perito
 en una investigación informática. Tienen la función de servir
 como prueba física (por encontrarse dentro de un soporte) de
 como prueba física (por encontrarse dentro de un soporte) de
 carácter intangible (no modificables) en las investigaciones
 informáticas

autor.
3.3.2 Obtención y Protección de la Evidencia

Obtención de evidencia
La adquisición de la evidencia electrónica se debe hacer siempre de
forma que el sistema examinado se vea impactado o modificado en
su estado lo mínimo posible.
En un entorno como el informático, en el que el estado (contenido
de registros, memoria, estado del procesador, etc) de los sistemas
cambia continuamente, esto es díficil, si no imposible, de cumplir en
la práctica. Siempre que existe una interacción (por leve y
cuidadosa que sea) del investigador o sus herramientas con el
sistema examinado, se produce una alteración de este último.
En la práctica forense moderna, se considera que ciertos tipos de
evidencia son más útiles o importantes que otros, y se acepta la
modificación del estado de la evidencia siempre que esta alteración
sea conocida y predecible.
Para ello es importante conocer las herramientas a utilizar. No sólo
hay que conocer el tipo de información que extrae o qué informes
genera, sino saber, con detalle, cual es la interacción de la
herramienta con el sistema sobre el que corre: cómo afecta a la
memoria, qué ficheros modifica, a qué recursos del sistema accede,
etc.
Como regla general, se debe obtener la evidencia de la forma
menos destructiva posible, y siempre en orden de más volátil a
menos volátil, en el orden que se muestra a continuación.
Cuando la evidencia se compone de listados de cientos de

conexiones, decenas de procesos corriendo, y una imagen bit-a-bit
de un par de cientos de gigabytes de disco duro, es necesario

autor.
establecer un plan para la forma de abordar el análisis. Es decir,

decidir de antemano qué es importante, qué no lo es, y en qué
orden hacer las cosas.
Cierto es que la mayoría de los casos son muy estándar, y el
procedimiento siempre sigue las mismas pautas. Casos típicos son:
 Hacker accede a un sistema explotando una vulnerabilidad de

un servicio. A continuación, si es necesario, eleva sus
privilegios hasta nivel de super-usuario, e instala un kit de
herramientas que le permita volver a acceder al sistema
cuando desee, aunque la vulnerabilidad original se haya
solucionado.
 Usuario legítimo del sistema provoca una infección del
ordenador (software de dudosa procedencia, “drive-by
downloads”, ficheros adjuntos en correo electrónico, etc.) que
instala un troyano que convierte al sistema en un “zombie”
parte de una “botnet”.
 Empleado desencantado sabotea los sistemas de su propia
empresa.
 Se sospecha de la posesión por parte del usuario de material
no autorizado o ilegal (software pirata, propiedad intelectual,
pornografía infantil)
 Empleado roba documentación e información confidencial, o
la envía a la competencia.
 Otro tipo de casos de carácter policial (tráfico de drogas,
terrorismo, etc.)
Ninguna investigación forense se inicia sin tener al menos una

sospecha de la conducta o incidente a investigar, y esto permite
adaptar la metodología al caso concreto.
¿Apagar o no apagar?
Un elemento de la metodología que es importante tener claro es la
decisión de apagar o no apagar la máquina, y en caso de no
apagar, si mantenerla conectada a la red o no.
Toda decisión que se toma desde el momento que se inicia la
investigación debe estar meditada, sopesada, y evaluada en
relación a sus posibles beneficios y posibles perjuicios.
En los casos donde la actividad maliciosa está clara, y en los que
cada segundo que pasa se hace más daño a la organización, puede
ser buena práctica tirar del cable de alimentación (mejor que apagar
usando la función de “shutdown” del sistema, que tiende a alterar

autor.
más el estado de la evidencia). Por supuesto, en este caso tenemos

que haber decidido que el contenido de la memoria no es
importante, o haber obtenido previamente una imagen de memoria
o información útil sobre los procesos activos.
Existen casos en los que apagar o desconectar de la red un
sistema, particularmente servidores de aplicaciones críticas de línea
de negocio, no es una opción. Ya sea por el impacto que puede
tener en el negocio, o por motivos regulatorios o de procesos
estrictos de gestión del cambio, una caida no planificada de un
sistema crítico puede ser peor que la incidencia que se está
investigando.
¿Apagar dispositivos móviles?
Con la incorporación de sistemas móviles a la infraestructura de
nuestros sistemas aparece un problema nuevo. ¿Qué hacer cuando
se investiga un teléfono móvil, Blackberry, o PDA?
Es importante evitar comunicaciones salientes o entrantes del
dispositivo cuando se obtiene como evidencia, para evitar la
modificación del estado en el que se encuentra, y evitar tráfico
entrante que pudiera sobreescribir registros históricos o mensajes
existentes. Existen dos opciones cuando se incauta un dispositivo
de comunicaciones móvil:
 Apagar el dispositivo
 Mantenerlo encendido pero aislado de la red
Muchas veces estos dispositivos están protegidos mediante

contraseñas o códigos PIN. Si los apagamos, tenemos un problema
adicional, al necesitar averiguar estas contraseñas o buscar una
manera de obviarlas. Si no los apagamos, el dispositivo sigue
funcionando, consumiendo batería.
Con la opción de mantenerlo encendido, pero en una bolsa aislante,
conseguimos que el dispositivo deje de estar conectado a la red.
Pero en general, estos dispositivos, al no encontrar portadora para
comunicaciones, aumentan su potencia de emisión y la frecuencia
con la que intentan buscar red, de forma que la vida de la batería se
acorta considerablemente.
Está claro que no es posible poner un teléfono móvil encendido en
una bolsa, y esperar a que siga encendido varios días después
cuando se va a realizar la investigación de la evidencia.

autor.
La posibilidad de utilizar una fuente de alimentación portátil

(mediante baterías) que se pueda almacenar junto con el dispositivo
en la bolsa de aislamiento puede ser interesante en ciertos casos.
En cualquier caso, mientras la metodología esté documentada y
justificada, queda a la discreción del investigador el método exacto
a seguir.
Protección.
Un aspecto a tener en cuenta, sobre todo en casos con
implicaciones legales, es la posible existencia de información
confidencial o personal, ajena al caso, entre la evidencia
recolectada.
¿Qué medidas se toman para proteger esa información? ¿Quién
tiene acceso a ella? La comisión de una infracción o delito no
implica la suspensión de las leyes y normas sobre protección a la
intimidad y la privacidad de datos de carácter personal.
Un juicio en Michigan (EEUU) ha puesto este tema de actualidad.
Una de las partes litigantes había solicitado al juez una orden para
examinar el disco duro de un PC de otra de las partes .
El juez dictaminó que un experto investigador forense realizase la
investigación del disco duro sin participación de ninguna de las
partes litigantes. El perito elaboraría un inventario de los elementos
de evidencia que sería presentado al propietario del disco. Este
tendría un tiempo determinado para indicar los elementos a ser
excluidos del caso, mediante una solicitud al juez. La parte
demandante debería cubrir los gastos del procedimiento.

autor.
3.3.3 Análisis Forense sobre Sistemas

Los servicios de análisis forense de Sistemas comprenden el
estudio de los sistemas para determinar el grado de compromiso y
exposición de los sistemas, los datos de los presuntos atacantes y
el nivel de intrusión alcanzado y la recuperación de datos en caso
de pérdidas.
Los servicios de análisis forense surgen dada la necesidad de
analizar los ataques sufridos, así como la necesidad de desvelar a
los atacantes o intrusores. Es igualmente preciso conocer qué
herramientas y metodologías han empleado los atacantes para
entrar en nuestros sistemas, y todo ello orientado a planificar
adecuadamente planes que impidas que los ataques se repitan.
La experiencia en los informes de análisis forense facilita la
elaboración de un protocolo de análisis forense exclusivo de la
organización, mediante el cual se preservan los datos y la
privacidad de los afectados, y se tratan las evidencias obtenidas
con las máximas condiciones de asepsia, para impedir la
contaminación de pruebas.
Los servicios de análisis forense son especialmente útiles
 Para analizar las intrusiones externas a nuestros sistemas
 Para analizar las intrusiones internas a nuestros sistemas
 Para conocer los detalles de posibles fugas de

confidencialidad
 Para minimizar el riesgo de fallas de seguridad del personal
 Para obtener evidencias útiles en procesos judiciales
Realizar trabajos de análisis forense es necesario para asegurar,

principalmente, que las brechas de seguridad han sido resueltas y
que el incidente que se haya producido no se produzca más.
Los datos de un análisis forense le permiten trazar la identidad de
los atacantes, así como su localización, pudiendo obtener de éstos
datos, información útil para procesos judiciales o laborales.
Una auditoría de seguridad informática o auditoría de seguridad de

sistemas de información (SI) es el estudio que comprende el
análisis y gestión de sistemas para identificar y posteriormente
corregir las diversas vulnerabilidades que pudieran presentarse en
una revisión exhaustiva de las estaciones de trabajo, redes de
comunicaciones o servidores.

autor.
Una vez obtenidos los resultados, se detallan, archivan y reportan a

los responsables quienes deberán establecer medidas preventivas
de refuerzo, siguiendo siempre un proceso secuencial que permita a
los administradores mejorar la seguridad de sus sistemas
aprendiendo de los errores cometidos con anterioridad.
Las auditorías de seguridad de SI permiten conocer en el momento
de su realización cuál es la situación exacta de sus activos de
información en cuanto a protección, control y medidas de seguridad.
Fases de una auditoría

Los servicios de auditoría constan de las siguientes fases:
 Enumeración de redes, topologías y protocolos

 Identificación de los sistemas operativos instalados
 Análisis de servicios y aplicaciones
 Detección, comprobación y evaluación de vulnerabilidades
 Medidas específicas de corrección
 Recomendaciones sobre implantación de medidas
preventivas.
Una auditoría se realiza con base a un patron o conjunto de

directrices o buenas practicas sugeridas. Existen estándares
orientados a servir como base para auditorías de informática. Uno
de ellos es COBIT (Objetivos de Control de la Tecnologías de la
Información), dentro de los objetivos definidos como parámetro, se
encuentra el "Garantizar la Seguridad de los Sistemas".
Adicional a este estándar podemos encontrar el standard ISO
27002, el cual se conforma como un código internacional de buenas
prácticas de seguridad de la información, este puede constituirse
como una directriz de auditoría apoyándose de otros estándares de
seguridad de la información que definen los requisitos de auditoría y
sistemas de gestión de seguridad, como lo es el estándar ISO
27001 analizado por maritee.

autor.
3.3.3.1 Imágenes en Medios de Almacenamiento
La presente invención se refiere a un dispositivo para la

presentación visual de una imagen estereoscópica para presentar
una imagen estereoscópica con paralaje en un medio de
presentación, caracterizado porque comprende: un medio de
almacenamiento de datos de imagen para almacenar los datos de
imagen fuente en los cuales una pluralidad de imágenes se basan
para producir una imagen plana que no tiene paralaje; un primer
medio de almacenamiento temporal que se puede escribir/leer que
incluye por lo menos un área de almacenamiento con puntos que
corresponden al número de pixeles para una imagen del medio de
presentación visual para almacenar temporalmente los primeros
datos de imagen de presentación para presentar una primera
imagen de presentación visual para la izquierda; un segundo medio
de almacenamiento temporal que se puede escribir/leer que incluye
por lo menos un área de almacenamiento con puntos que
corresponden al número de pixeles para una imagen del medio de
presentación visual para almacenar temporalmente los segundos
datos de imagen de presentación para presentar una segunda
imagen de presentación visual para la derecha; un medio de
almacenamiento de información de paralaje para almacenar la
información de paralaje para especificar una cantidad de
desplazamiento de la primera y segunda imágenes de presentación
en una dirección lateral entre sí; un medio de control de escritura
para convertir los datos de imagen plana para una imagen en los
datos de imagen fuente en primeros y segundos datos de imagen
de presentación y escribir los primeros datos de imagen de
presentación en el primer medio de almacenamiento temporal y
escribir los segundos datos de imagen de presentación en el
segundo medio de almacenamiento temporal con base a la
información de la paralaje, de tal manera que la primera y segunda
imágenes de presentación son desplazadas por el número de
puntos que corresponden a la paralaje en la dirección lateral entre
sí, cuando la primera y segunda imágenes de presentación son
presentadas por el medio de presentación; un medio de control de
lectura para leer los primeros o segundos datos de imagen de
presentación almacenados temporalmente en el primero o segundo
medios de almacenamiento temporal, cuando el medio de control de
escritura no está realizando la operación de escritura para el
primero o segundo medios de almacenamiento temporal; y un
medio de suministro para suministrar primero y segundo datos de

autor.
imagen de presentación leídos por medio de control de lectura al

medio de presentación.

autor.
3.3.3.2 Revisión de Bitácoras

Bitácora, del francés bitacle, es una especie de armario que se
utiliza en la vida marítima. La bitácora se fija a la cubierta y cerca
del timón, ya que allí se instala la aguja náutica que facilita la
navegación.
En la antigüedad, la bitácora solía albergar un cuaderno (el
cuaderno de bitácora) donde los navegantes relataban el desarrollo
de sus viajes. Dicho cuaderno, al guardarse en la bitácora, era
protegido de las tormentas y los avatares climáticos.
Con el tiempo, la noción de bitácora pasó a asociarse de manera
casi exclusiva a la de cuaderno de bitácora (por ejemplo: “El
avistaje de la isla fue narrado de forma detallada en la bitácora del
capitán”) y se extendió a otros ámbitos.
Una bitácora es, en la actualidad, un cuaderno o publicación que
permite llevar un registro escrito de diversas acciones. Su
organización es cronológica, lo que facilita la revisión de los
contenidos anotados. Los científicos suelen desarrollar bitácoras
durante sus investigaciones para explicar el proceso y compartir sus
experiencias con otros especialistas.
Las bitácoras consiguieron una gran fama a partir del desarrollo de
los weblogs o blogs, que son bitácoras virtuales que se publican n.
Los blogs recopilan información de todo tipo y pueden ser escritos
por uno o más autores. Este tipo de bitácora suele aceptar la
participación de los lectores a través de comentarios y opiniones.
El fotolog o flog, por otra parte, es un blog que se basa en la
publicación de imágenes y comentarios de escasa extensión.

autor.
3.3.3.3.1 Tiempos de Modificación, Acceso y Creación

Supongamos que ya tenemos montadas las imágenes del sistema
comprometido en nuestra estación de trabajo independiente y con
un sistema operativo anfitrión de confianza. El primer paso que
deberá dar es crear una línea temporal de sucesos o timeline, para
ello re-copile la siguiente información sobre los ficheros:

acceso, creación y borrado).
Para comenzar ordene los archivos por sus fechas MAC, esta
primera comprobación, aunque simple, es muy interesante pues la
mayoría de los archivos tendrán la fecha de instala-ción del sistema
operativo, por lo que un sistema que se instaló hace meses y que
fue com-prometido recientemente presentará en los ficheros
nuevos, inodos y fechas MAC muy distin-tas a las de los ficheros
más antiguos.
La idea es buscar ficheros y directorios que han sido creados,

modificados o borrados recientemente, o instalaciones de
programas posteriores a la del sistema operativo y que ade-más se
encuentren en rutas poco comunes. Piense que la mayoría de los
atacantes y sus herramientas crearán directorios y descargarán sus
“aplicaciones” en lugares donde no se sue-le mirar, como por
ejemplo en los directorios temporales.

autor.
A modo de guía céntrese primero en buscar los archivos de sistema

modificados tras la instalación del sistema operativo, averigüe
después la ubicación de los archivos ocultos y écheles un vistazo a
ver dónde están y de qué tipo son, busque también los archivos
borrados o fragmentos de éstos, pues pueden ser restos de logs y
registros borrados por sus atacantes.
Aquí cabe destacar nuevamente la importancia de realizar

imágenes de los discos pues po-dremos acceder al espacio residual
que hay detrás de cada archivo, (recordemos que los fiche-ros
suelen almacenarse por bloques cuyo tamaño de clúster depende
del tipo de sistema de archivos que se emplee), y leer en zonas que
el sistema operativo no ve.
Piense que está buscando “una aguja en un pajar”, por lo que

deberá ser metódico, vaya de lo general a lo particular, por ejemplo
parta de los archivos borrados, intente recupe-rar su contenido,
anote su fecha de borrado y cotéjela con la actividad del resto de
los archi-vos, puede que en esos momentos se estuviesen dando
los primeros pasos del ataque.
Sin perder de vista ese timestamp anterior, comience a examinar

ahora con más detalle los ficheros logs y de registros que ya ojeó
durante la búsqueda de indicios del ataque, intente buscar una
correlación temporal entre eventos. Piense que los archivos log y de
registro son generados de forma automática por el propio sistema
operativo o por aplicaciones específicas, conteniendo datos sobre
accesos al equipo, errores de inicialización, creación o modificación
de usuarios, estado del sistema, etc.
Por lo que tendremos que buscar nuevamente entradas anómalas
y compararlas con la actividad de los ficheros. Edite también el
archivo de contra-señas y busque la creación de usuarios y cuentas
extrañas sobre la hora que considere se inició el compromiso del
sistema.

autor.
3.3.3.4 Revisión de Procesos

Revisión de todos los procesos encargados de producir resultados,
entre ellos la captura de la información, los sistemas hardware de
explotación, los recursos humanos de explotación y otros.
3.3.3.5 Herramientas y Técnicas del Análisis Forense.
Componentes del análisis forense
• Identificación de la evidencia: los investigadores deben conocer
muy bien los formatos que tiene la información con el fin de saber
cómo extraerla, dónde y cómo almacenarla y preservarla.
• Preservación de la evidencia: es importante que no se generen
cambios en la evidencia al analizarse, sin embargo en algunos
casos donde deba presentarse esos cambios deben ser explicados
ya que toda alteración debe ser registrada y justificada
• Análisis de la evidencia: cada uno de los datos recopilados como
prueba deben ser examinados por expertos en el tema.
• Presentación: las metodologías que se utilicen para la
presentación de los datos analizados deben ser serias, probadas y
confiables.
Software de Libre Distribución y Open Source
Vamos a comenzar con una recopilación de herramientas que
necesitan ser ejecutadas bajo un sistema operativo anfitrión, bien
sea MS Windows o UNIX/Linux.
The Forensic ToolKit
Se trata de una colección de herramientas forenses para
plataformas Windows, creado por el equipo de Foundstone. Puede
descargarlo desde www.foundstone.com, donde además encontrará
gran cantidad de herramientas de seguridad. Este ToolKit le
permitirá recopilar información sobre el ataque, y se compone de
una serie aplicaciones en línea de comandos que permiten generar
diversos informes y estadísticas del sistema de archivos a estudiar.
Para poder utilizarlos deberá disponer de un intérprete de
comandos como cmd.exe.
The Sleuth Kit y Autopsy

Este conjunto, cuyo autor es Brian Carrier, consiste en una
colección de herramientas forenses para entornos UNIX/Linux, que
incluye algunas partes del conocido The Coroners ToolKit (TCT) de
Dan Farmer. Puede analizar archivos de datos de evidencias
generadas con utilidades de disco como por ejemplo dd. Pese a ser
de libre distribución (puede descargarlo del sitio Web

autor.
www.sleuthkit.org) ofrece más detalle que algunos programas de

pago. Incluye funciones como registro de casos separados e
investigaciones múltiples, acceso a estructuras de archivos y
directorios de bajo nivel y eliminados, genera la línea temporal de
actividad de los archivos (timestamp), permite buscar datos dentro
de las imágenes por palabras clave, permite crear notas del
investigador e incluso genera informes.
HELIX CD
Se trata de un Live CD de respuesta ante incidentes, basado en una
distribución Linux denominada Knoppix (que a su vez está basada
en Debian). Posee la mayoría de las herramientas necesarias para
realizar un análisis forense tanto de equipos como de imágenes de
discos.
F.I.R.E. Linux
Se trata de otro CD de arranque que ofrece un entorno para
respuestas a incidentes y análisis forense, compuesto por una
distribución Linux a la que se le han añadido una serie de utilidades
de seguridad, junto con un interfaz gráfico que hace realmente fácil
su uso.

autor.
3.3.4 Herramientas para Obtener información de la Red

Seguro que muchas veces, sobre todo los que nos dedicamos al
mundo de la informática, nos hemos encontrado el caso de tener
que efectuar alguna acción en una red local pero sin saber cuantas
maquinas la componen ni que sistemas poseen estas maquinas y
no disponer de mucho tiempo para averiguarlo. Para tener un
informe rápido de las maquinas que integran una red les
recomiendo la herramienta Kaboodle es gratis y se puede usar en
Linux, Windows y FreeBSD. Además puede generar informes a
través de VPN, también tiene VNC para administración remota y
sistema para transferir ficheros. Es una herramienta muy
aconsejable para administradores de sistemas.
Análisis de resultados cuando se hayan terminado de usar los

métodos y herramientas seleccionados para el estudio, se tendrá
información almacenada en cuadernos, archivos e índices
organizada cronológicamente o por método usado, o ambos. Este
apartado trata sobre los procesos que permiten analizar la
información recopilada; verificar su confiabilidad mediante la
triangulación; interpretar y comprender los resultados; y presentar y
usar los resultados. Debido a que la documentación es uno de los
resultados más importantes de un estudio de evaluación de la
higiene se demuestra, en términos prácticos, cómo la investigación
y el análisis se vinculan con la redacción de informes.
Existen cuatro etapas principales en el análisis e interpretación de la

información cualitativa. Estos se tratan más detalladamente en
varios textos, incluidos Patton (1986, 1990), Miles y Huberman
(1994) y Silverman (1994). Aquí nos centraremos más en las tareas
prácticas que en los temas teóricos. Análisis descriptivo
La descripción y análisis de la información cualitativa están

estrechamente vinculados, de ahí la frase análisis descriptivo.

autor.
Este análisis incluye una descripción de la finalidad del estudio, la

localidad y personas comprometidas, y sus generalidades
usualmente se presentan en la introducción del informe.
El análisis descriptivo se centra en cómo, dónde y quién recolectó

la información, lo cual implica revisar la información, identificar
vínculos, patrones y temas comunes, ordenar los hechos y
presentarlos como son, sin agregar ningún comentario sobre su
importancia. En el informe, esto se presenta generalmente en la
sección de Resultados.
El orden de los resultados puede ser cronológico, según la

secuencia de observación de los hechos, o jerárquico, de acuerdo a
la importancia de los temas. La introducción y la sección del análisis
descriptivo (resultados) del informe deben responder las siguientes
preguntas básicas:
La sección de la introducción
• ¿Dónde se realizó el estudio? ¿Cuáles son las condiciones físicas

y climáticas?
• ¿Cuándo se realizó el estudio? ¿Por qué?
• ¿Cuáles fueron los objetivos y los resultados esperados del

estudio?
• ¿Quién realizó el estudio? ¿Qué métodos y herramientas se

usaron? ¿Por qué?
• ¿Cómo participaron las personas en el estudio?
¿Qué grupos étnicos, idiomas u otros grupos participaron? ¿Cómo

se compara el nivel de participación logrado en su estudio con el
carácter distintivo de la participación comunitaria?

autor.
Sección de resultados
Incluirá resultados en cuanto a:
• Método y herramienta de investigación usados; • Núcleo de

prácticas de higiene; • Cualquier otro orden relevante.
Las respuestas a estas preguntas requieren un análisis y

descripción rigurosos, pero no una interpretación. En el análisis
descriptivo se debe incluir detalles suficientes para permitir que el
lector vea qué pasos siguió en la investigación, cómo tomó
decisiones metodológicas o cambios de dirección y por qué.
Recuerde que los hechos tienen que presentarse de manera clara,
coherente y completa antes de que puedan ser interpretados. Una
característica muy importante del análisis es la verificación, seguida
de la verificación cruzada de la información a fin de establecer la
calidad y confiabilidad de los resultados.
Interpretación
La segunda etapa es determinar el significado de los resultados y

cuán significativos son en su contexto específico. Las razones que
motivan ciertas prácticas de higiene y la influencia de los factores
socioculturales sobre ellas pueden analizarse con el aporte de las
múltiples perspectivas del equipo de estudio. Tomando como base
los resultados, también pueden explorarse temas más amplios que
vinculen las prácticas de higiene con la salud.
A continuación se presentan algunas de las preguntas que deben

ser respondidas por el equipo de estudio al interpretar los
resultados del estudio:
• ¿Qué significan los resultados? • ¿Cómo surgieron los resultados?

• ¿Cuáles son las posibles explicaciones de los resultados’? • ¿Se
ha respondido a todos los por qué? ¿Algunos requieren
investigación adicional?
Idealmente, la interpretación de los resultados debe reflejar los

comentarios y sugerencias hechas por la población durante las
sesiones de retroalimentación sobre el uso de métodos y
herramientas analíticos y de investigación.

autor.
Esto ayudará a minimizar los prejuicios que pudieran influir en la

interpretación de los resultados y asegurará que se tome en cuenta
el contexto de la información.
Juicio
El análisis descriptivo y la interpretación de los resultados, en último

término, permiten evaluar los resultados como positivos, negativos o
ambos y determinar sus razones. Los valores del equipo de estudio
y de las partes interesadas influyen en los resultados del estudio.
Por ejemplo, los resultados pueden indicar qué es bueno, malo,
aconsejable o indeseable respecto a cómo el proyecto ha
promovido un mejor abastecimiento de agua, saneamiento, higiene
y salud o cómo han respondido las personas a las intervenciones
externas y por qué. En este sentido, las preguntas que deben
responderse son:
• ¿Cuál es la importancia de los resultados para los diversos

interesados en este entorno específico? • ¿para el proyecto? •
¿para la población estudiada? • ¿para los investigadores
interesados en los vínculos entre determinadas prácticas de higiene
y la salud?
Es importante lograr un equilibrio justo entre los aspectos positivos

y negativos. Los resultados positivos deben recalcarse sin dejar de
lado los negativos. De igual manera, los resultados negativos no
sólo deben enumerarse, sino discutirse de modo que exploren
posibles soluciones prácticas o remedios factibles.

autor.
3.3.6 Sistemas de Detección de Intrusos

accesos pueden ser ataques de habilidosos hackers, o de Script
El IDS suele tener sensores virtuales (por ejemplo, un sniffer de red)
con los que el núcleo del IDS puede obtener datos externos
(generalmente sobre el tráfico de red). El IDS detecta, gracias a
dichos sensores, anomalías que pueden ser indicio de la presencia
de ataques o falsas alarmas.
Funcionamiento
El funcionamiento de estas herramientas se basa en el análisis
pormenorizado del tráfico de red, el cual al entrar al analizador es
comparado con firmas de ataques conocidos, o comportamientos
sospechosos, como puede ser el escaneo de puertos, paquetes
malformados, etc. El IDS no sólo analiza qué tipo de tráfico es, sino
que también revisa el contenido y su comportamiento.
Normalmente esta herramienta se integra con un firewall. El
detector de intrusos es incapaz de detener los ataques por sí solo,
excepto los que trabajan conjuntamente en un dispositivo de puerta
de enlace con funcionalidad de firewall, convirtiéndose en una
herramienta muy poderosa ya que se une la inteligencia del IDS y el
poder de bloqueo del firewall, al ser el punto donde forzosamente
deben pasar los paquetes y pueden ser bloqueados antes de
penetrar en la red.
Los IDS suelen disponer de una base de datos de “firmas” de
ataques conocidos.
Dichas firmas permiten al IDS distinguir entre el uso normal del PC
y el uso fraudulento, y/o entre el tráfico normal de la red y el tráfico
que puede ser resultado de un ataque o intento del mismo.
3.3.6.1 Aplicación de los Sistemas de Detección de Intrusos
en la Seguridad Informática.
En aquellas organizaciones donde la seguridad es altamente crítico

el contar con personal de respuesta de incidentes es prácticamente
una obligación (en estos ambientes un sistema de detección de
intrusos instalado y configurado apropiadamente suele ser muy

autor.
valioso); algunas organizaciones donde este tipo de sistemas

suelen ser más efectivos son:
 Instituciones gubernamentales (principalmente aquellas

relacionadas con seguridad pública)
 Instituciones financieras
 Empresas que manejan gran cantidad de información
confidencial.

autor.
3.3.6.2 Tipos de Sistemas de Detección de Intrusos

Básicamente existen dos tipos de detectores de Intrusos:
IDSes basados en red
Un IDS basado en red monitorea los paquetes que circulan por
nuestra red en busca de elementos que denoten un ataque contra
alguno de los sistemas ubicados en ella; el IDS puede situarse en
cualquiera de los hosts o en un elemento que analice todo el tráfico
(como un HUB o un enrutador). Este donde este, monitorizara
diversas maquinas y no una sola: esta es la principal diferencia con
los sistemas de detección de intrusos basados en máquina.
IDSes basados en máquina

Mientras que los sistemas de detección de intrusos basados en red
operan bajo todo un dominio de colisión, los basados en maquina
realizan su función protegiendo un único sistema; de una forma
similar a como actúa un escudo antivirus residente en el sistema
operativo, el IDS es un proceso que trabaja en background (o que
despierta periódicamente) buscando patrones que puedan denotar
un intento de intrusión o mala utilización y alertando o tomando las
medidas oportunas en caso de que uno de estos intentos sea
detectado.

autor.
3.3.6.3 Nivel de Interacción de los Sistemas de Detección de

Intrusos
La interacción, permite que un sistema IDS pueda compartir u
obtener información de otros sistemas como Firewalls, Enrutadores
y Switches, lo que permite reconfigurar las características de la red
de acuerdo a los eventos que se generan. También permite que se
utilicen protocolos como SNMP (Simple Network Management
Protocol) para enviar notificaciones y alertas a otras maquinas de la
red.
La correlación es una nueva característica que añade a los IDS la
capacidad de establecer relaciones lógicas entre eventos diferentes
e independientes, lo que permite manejar eventos de seguridad
complejos que individualmente no son muy significativos, pero que
analizados como un todo pueden representar un riesgo alto en la
seguridad del sistema.

autor.
3.4 RESPUESTA Y MANEJO DE INCIDENTES
El manejo de incidentes su objetivo primordial es restablecer el

servicio lo más rápido posible para evitar que el cliente se vea
afectado, esto se hace con la finalidad de que se minimicen los
efectos de la operación.
El término incidente se refiere a un evento desfavorable en un

sistema de información o una red o el riesgo de ocurrencia de tal
evento. En algunos casos el incidente permanece sin corregirse por
dos o más días, lo que provoca que se dé alta varias veces el
mismo incidente.
3.4.1 RESPUESTA A INCIDENTES
Una respuesta a incidentes es una reacción acelerada a un

problema. Con respecto a la seguridad de la información, un
ejemplo seria las acciones del equipo de seguridad en contra de un
hacker que ha penetrado un cortafuego y está actualmente
husmeando el tráfico de la red. El incidente es la violación de la
seguridad. La respuesta depende de cómo el equipo de seguridad
reaccione, que acciones toman para reducir los datos y cuando
restablecen los recursos, todo esto mientras intentan garantizar la
integridad de los datos.
Una respuesta a incidentes debe ser decisiva y ejecutarse
rápidamente. Debido a que hay muy poco espacio para errores, es
crítico que se afecta en prácticas de emergencias y se midan los
tiempos de respuesta. De esta forma, es posible desarrollar una
metodología que fomenta la velocidad y la precisión, minimizando el
impacto de la indisponibilidad de los recursos y el dado potencial
causado por el sistema en peligro.

autor.
3.4.2 CREACIÓN DE UN EQUIPO DE RESPUESTA A

INCIDENTES DE SEGURIDAD INFORMÁTICA
"Creación de equipos de respuesta a incidentes de seguridad en

computo", las redes de computadoras han revolucionado la forma
en que se llevan a cabo los negocios, a la vez que han introducido
riesgos potenciales. Los cambios en la manera en campo la
sociedad hace uso de la tecnología trae consigo nuevas
posibilidades de intrusión. En la mayoría de los casos, los
administradores de las redes o sistemas no cuenta con la gente ni
la experiencia para defenderse en contra de los ataques y reducir
los datos. Las organizaciones pueden responder de diferentes
formas como defensa en contra de las amenazas de seguridad en
internet, ya sea manteniéndose con los últimos parches de los
sistemas operativos y las actualizaciones los productos, instalar
defensas perimetrales e internas como ruteadores, firewalls,
scanner y sistemas detectores de intrusos, con nuevas políticas y
procedimientos de seguridad, lanzando alertas de seguridad,
capacitando a los empelados, clientes y miembros de la
organización.
Un csirt (computer security incident response team) es una

organizaciã³n o equipo que provee servicios y soporte para
prevenir, manejar y responder a los incidentes de seguridad
computacional.
En general: es un punto de contacto para el reporte de los

problemas locales y de su rango de acción. Asiste a la organización
y en general a la comunidad de cómputo en la prevención y manejo
de incidentes de seguridad en computo.
Comparte información y experiencias con el csirt/cc, otros equipos

de respuesta y otros sitios y organizaciones adecuados.
la creaciã³n de un csirt es uno de los pasos que las organizaciones
pueden tomar para proveer una estrategia mas rápida de respuesta,
para lo que habrá que identificar claramente las acciones y
decisiones claves a considerarse para la planeación e
implementación de este en la organización.

autor.
Para poder implementar exitosamente un csirt, la organización

deben reunir la información necesaria para ello (tipo de problemas,
puntos críticos, procesos, etc.), identificar el rango de acción y los
servicios que proporcionaría, la forma en que se estructurara, los
equipos e infraestructura, obtener recursos (incluyendo personal,
experiencia y financiamiento), autoridades, entre otras cosas mas,
basando sus acciones en una vision global de los requerimientos de
su organización y en la mision que tiene la creacion de este equipo.
Se puede aprender de la experiencia de otros csirt, como lo son:
mxcert, singcert, cancert, cert nask, etc.
cada equipo determina: el rango de servicios que proporcionaría:

horarios, políticas, modo de operación, prioridades, herramientas y
equipo, responsables, etc. El nivel de soporte que daría a cada uno
de los servicios: asignación de recursos, extensión y profundidad
del servicio proporcionado, etc., el plan de creacion de un csirt,
también tiene que ser retroalimentado por otros expertos de
seguridad, otros csirt, proveedores de servicios de internet y otros
grupos de la misma organización. Puede pensarse incluso, en
modelos alternativos de csirt, los que pueden atender aspectos muy
específicos de seguridad, pueden ser equipos locales, virtuales,
centralizados, combinados, etc. los que pueden evolucionar de
acuerdo a los cambios y necesidades que vayan surgiendo y que se
vayan evaluado, ya sea a corto o largo plazo.

autor.
Unidad IV
Entorno social e impacto económico de la seguridad

informática
4.1 LEGISLACIÓN MEXICANA
La legislación es un conjunto de leyes por las cuales se gobierna un

estado o una materia determinada.
La palabra legislación puede referirse a una variedad de normas
jurídicas cuyo rasgo común es que regulan las relaciones de ciertas
personas que tienen en común la pertenencia a un territorio o
sociedad.
Por lo general, los estatutos son una forma de derecho propio.
El Derecho surge como un medio efectivo para regular la conducta
del hombre en sociedad.
Pero la sociedad no es la misma en cada uno de los lugares del

planeta ni es la misma en cada momento de la historia.
El Derecho regula la conducta y los fenómenos sociales a través de
leyes. El proceso de creación de las leyes es largo y lento, sobre
todo en el Sistema Jurídico Latino.
En los últimos años, las Tecnologías de la Información y la

Comunicación han revolucionado la vida social en numerosos
aspectos: científicos, comerciales, laborales, profesionales,
escolares, etc.
La tecnología avanza a una velocidad vertiginosa y el Derecho, en
especial, el Derecho mexicano, se ha quedado con mucho
rezagado en la regulación de una materia que lo ha rebasado.

autor.
4.1.1 ACCESO ILÍCITO A SISTEMAS
Al que estando autorizado para acceder a sistemas y equipos de

informática de las instituciones que integran el sistema financiero,
indebidamente copie información que contengan, se le impondrán
de tres meses a dos años de prisión y de cincuenta a trescientos
días multa.
Las penas previstas en este articulo se incrementaran en una mitad

cuando las conductas sean cometidas por funcionarios o empleados
de las instituciones que integran el sistema financiero.
4.1.2. CÓDIGO PENAL
Un código penal es un conjunto unitario y sistematizado de las

normas jurídicas punitivas de un Estado, es decir, un compendio
ordenado de la legislación aplicable en materia penal, que busca la
eliminación de redundancias, la ausencia de lagunas y la
universalidad: esto es, que no existan normas penales vigentes
fuera del compendio.
El primer código penal que recogió los requisitos que, a partir de la
Ilustración, fueron estableciéndose sobre la forma de un cuerpo
legislativo moderno, fue el Código Penal francés, de la época
napoleónica (por ello también es denominado Código penal
napoleónico), promulgado con la finalidad de dar coherencia a un
sistema jurídico casi indescifrable por la multitud de normas
dispersas que existían.
La idea jurídica de la existencia de códigos es típicamente burguesa
y liberalista, dado que favorece los intercambios comerciales y de
seguridad jurídica. Además, en el caso del Código penal, permite a
los ciudadanos un mayor conocimiento de los delitos, y no ser
enjuiciados por actos delictivos que podrían desconocer.

autor.
4.1.3 DERECHOS DE AUTOR
Es la facultad exclusiva que tiene el creador intelectual para

explotar temporalmente, por sí o por terceros, las obras de su
autoría (facultades de orden patrimonial), y en la de ser reconocido
siempre como autor de tales obras (facultades de orden moral), con
todas las prerrogativas inherentes a dicho reconocimiento.
El derecho de autor se basa en la idea de un derecho personal del

autor, fundado en una forma de identidad entre el autor y su
creación.
El derecho moral está constituido como emanación de la persona

del autor: reconoce que la obra es expresión de la persona del autor
y así se le protege.
La protección del copyright se limita estrictamente a la obra, sin

considerar atributos morales del autor en relación con su obra,
excepto la paternidad; no lo considera como un autor propiamente
tal, pero tiene derechos que determinan las modalidades de
utilización de una obra.

autor.
4.1.4 ACTUALIDAD DE LA LEGISLACIÓN SOBRE DELITOS

INFORMÁTICOS
En la actualidad las computadoras se utilizan no solo como

herramientas auxiliares de apoyo a diferentes actividades humanas,
sino como medio eficaz para obtener y conseguir información, lo
que las ubica también como un nuevo medio de comunicación, y
condiciona su desarrollo de la informática; tecnología cuya esencia
se resume en la creación, procesamiento, almacenamiento y
transmisión de datos.
La informática esta hoy presente en casi todos los campos de la

vida moderna.
Con mayor o menor rapidez todas las ramas del saber humano se
rinden ante los progresos tecnológicos, y comienzan a utilizar los
sistemas de Información para ejecutar tareas que en otros tiempos
realizaban manualmente.
En la actualidad la informatización se ha implantado en casi todos

los países.
Tanto en la organización y administración de empresas y

administraciones públicas como en la investigación científica, en la
producción industrial o en el estudio e incluso en el ocio, el uso de
la informática es en ocasiones indispensable y hasta conveniente.
Sin embargo, junto a las incuestionables ventajas que presenta
comienzan a surgir algunas facetas negativas, como por ejemplo, lo
que ya se conoce como "criminalidad informática".

autor.
4.2 LEY MODELO (CNUDMI)
La CNUDMI, mejor conocida por sus siglas en inglés UNCITRAL1

es el órgano jurídico central del sistema de la Organización de las
Naciones Unidas (ONU) en el ámbito del derecho mercantil
internacional. Desde su fundación en 1966, esta Comisión ha
desempeñado un papel de suma relevancia en el apoyo que brinda
la ONU al comercio internacional y es considerada como uno de los
instrumentos más importantes para el desarrollo de la economía
mundial. La Asamblea General de la ONU le encomendó la labor de
fomentar la armonización y unificación progresivas del derecho
mercantil internacional, por lo que como parte de sus funciones se
encuentra la elaboración de convenciones internacionales y leyes
modelo, de entre las que se encuentran: la Convención sobre los
Contratos de Compraventa Internacional de Mercaderías
(Convención de Viena), la Ley Modelo de la CNUDMI sobre la
Insolvencia Transfronteriza, la Convención de las Naciones Unidas
sobre el Reconocimiento y Ejecución de las Sentencias Arbitrales
Extranjeras (Convención de Nueva York), la Convención sobre
Letras de Cambio Internacionales y Pagarés Internacionales y la
Ley Modelo sobre Arbitraje Comercial Internacional (Ley Modelo de
arbitraje).

autor.
Unidad V
Nuevas tendencias y tecnologías
5.1 CULTURA DE LA SEGURIDAD INFORMÁTICA
Garantizar que los recursos informáticos de una compañía estén

disponibles para cumplir sus propósitos, es decir, que no estén
dañados o alterados por circunstancias o factores externos, es una
definición útil para conocer lo que implica el concepto de seguridad
informática.
En términos generales, la seguridad puede entenderse como

aquellas reglas técnicas y/o actividades destinadas a prevenir,
proteger y resguardar lo que es considerado como susceptible de
robo, pérdida o daño, ya sea de manera personal, grupal o
empresarial.
En este sentido, es la información el elemento principal a proteger,

resguardar y recuperar dentro de las redes empresariales.
Si los usuarios de su red conocen cómo actuar ante situaciones de

riesgo, se evitarán en gran medida los errores cometidos por la falta
de información, minimizando al máximo las posibles pérdidas.
Lo primero es establecer unas normas básicas a seguir por los

usuarios (Políticas de comportamiento seguro) y plantear un plan de
formación de los mismos.

autor.
Las Políticas de comportamiento seguro sirven para establecer una

normativa que defina cómo actuar ante determinadas situaciones de
riesgo. Por ejemplo, entre ellas estarían las siguientes:
 Si se reciben ficheros no solicitados o de origen desconocido,

hay que rechazarlos por muy interesantes que parezcan, ya
que pueden contener virus.
 Al recibir un nuevo mensaje de correo electrónico, se deben

analizar siempre con el antivirus antes de abrirlo, aunque se
conozca al remitente.
 Evitar la descarga de programas desde lugares no seguros de

Internet y procurar confirmar que están avalados por un
organismo público, editoriales o una empresa antivirus.
 Poner la máxima precaución si se observa que en el

ordenador se llevan a cabo acciones sospechosas (aumento
de tamaño de los ficheros, aparición de avisos de Windows no
habituales, recepción de correos de personas desconocidas o
en idiomas no utilizados habitualmente, etc.).
Muchas veces, son las personas y no las tecnologías, quienes

presentan el punto débil en la seguridad de una compañía.
México se ubica en el lugar 15 como generador de ciberataques.
En tanto, el país que genera y recibe mayor cantidad de ataques en

América es Estados Unidos. Le siguen Corea del Sur, China,
Alemania, Francia, Taiwan, Canadá, Italia, Gran Bretaña y Japón.
En México la situación es preocupante. Actualmente nuestro país
pasó del cuarto al tercer lugar en recibir ataques cibernéticos, según
Symantec, corporativo dedicado a la seguridad informática. Y
principalmente por los virus de tipo Worm.
Especialistas reconocen que México está rezagado en materia de
seguridad informática y en plena desventaja mundial, sus
programas de difusión, capacitación y fomento de la cultura de
seguridad informática son deficientes.

autor.
En parte, esta situación se debe a que las instituciones de nivel

superior no han abordado el problema. Deberían crearse
licenciaturas especializadas en seguridad de la información, incluso
en áreas como Derecho, pues no contamos con las suficientes
leyes para sancionar el mal uso de recursos informáticos.
A diferencia de la delincuencia habitual, los crímenes cibernéticos
pueden ser ejecutados desde la comodidad de la casa, la oficina o
desde un café internet, pues los hackers usan el correo electrónico
(phishing), los sitios web falsos (phar-ming) y los chats o
messengers para obtener información confidencial.
También mandan un mail al usuario con el pretexto de advertir
sobre problemas con su cuenta bancaria, clonación de tarjeta,
premios, actualización de datos o cambio de políticas de seguridad.
Según un informe elaborado por AOL y la Alianza Nacional para la
Seguridad Cibernética, uno de cada cuatro internautas está
expuesto a amenazas, por ejemplo, mensajes electrónicos falsos,
que tratan de robar información personal. Y los que navegan por el
ciberespacio, de acuerdo con los expertos, no están preparados
para afrontar tales engaños.
El estudio señala que 70 por ciento de los usuarios no sospechaba
que estos correos eran falsos y que procedían de fuentes ilegítimas.
Por ello, el usuario ingenuamente, introduce sus datos personales,
hace clic en la liga del correo y se le transfiere a un sitio web falso al
mismo tiempo que se envían sus datos confidenciales al hacker.
La gente que labora en las grandes compañías tiene poco cuidado
al elegir el lugar para guardar passwords y tira libretas o apuntes
confidenciales en la basura. Otro riesgo es revelar datos privados
durante las conversaciones telefónicas que se realizan en lugares
públicos.
Hoy en día las empresas deben enfocar su atención en el grado de
vulnerabilidad y en las herramientas de seguridad con las que
cuentan para hacerle frente a posibles ataques informáticos que
luego se puedan traducir en pérdidas cuantiosas de dinero.
El usuario debe tener cuidado de no dar acceder a sitios que
considere poco fiables y no bajar programas piratas o de fuentes no
confiables, pues a pesar de que son más económicos pudiera ser
víctima de un fraude.

autor.
Así como optar por sistemas operativos que han sido configurados
para redes como UNIX. También se deben mantener las mejores
prácticas de seguridad, algunas muy sencillas como no compartir el
password.
El interés por la cultura de la seguridad cibernética ha hecho que
surjan organismos encargados de asegurar servicios de prevención
de riesgos y asistencia a los tratamientos de incidencias como el
Computer Emergency Response Team Coordination Center, un
centro de alertas y reacción frente a los ataques informáticos,
destinados a las empresas y administradores, pero generalmente
estas informaciones son accesibles a todo el mundo.
Además, ya se pueden encontrar en la Red, sitios destinados a
proporcionar información sobre la seguridad cibernética. Uno de
ellos, es BlogAntivirus, un espacio de información sobre Seguridad
Informática, en el cual se abordan temas como Virus, Troyanos,
Espías, Spam, Pishing, y de todas las herramientas que pueden
ayudar a evitar estos ataques: antivirus, antiespias, cortafuegos,
antispam.
Sin duda, la seguridad informática es un tema complejo que
requiere de estrategias que alerten y garanticen la protección de la
información contenida en los ordenadores, así como de soluciones
eficaces que satisfagan los problemas informáticos actuales y
prevean los futuros.

autor.
5.2 NUEVAS TECNOLOGÍAS DE PROTECCIÓN
En la actualidad, las empresas presentes en Internet y empiezan a

introducirse en el ámbito de las Nuevas Tecnologías y la protección
de datos, deben tener en cuenta los nuevos problemas jurídicos y
técnicos los cuales plantean estos nuevos medios.
Debido a la gran importancia que ha obtenido el internet en

nuestros días y debido a los conflictos de intereses que se suscitan,
es importante proteger los derechos mediante la aplicación de
estrategias para hacer valer y defender las innovaciones
tecnológicas y en línea.
Actualmente en rama del derecho se encuentran:
 Protección de programas de cómputo
 Registro y protección de nombres de dominio
 Representación en controversias por nombres de dominio
 Redacción de contratos para uso en Internet

 Asesoría en comercio electrónico
 Redacción de avisos legales para sitios web
 Protección de contenidos de sitios web, etc.
Parte de un exitoso desarrollo de las empresas se deriva tanto del

concepto de creatividad, como de inventiva, es por lo anterior que
las empresas independientemente de su tamaño, busquen la
protección de su imagen, de su nombre, o de sus procesos
derivados de una actividad inventiva, para tener mayor penetración
en un mercado cada vez más competido.
La entrada en vigor de la Ley Orgánica 15/1999, de 13 de

diciembre, de Protección de Datos de Carácter Personal -LOPD-
hace que surjan una serie de obligaciones para las empresas que
posean datos de carácter personal.

autor.
En este sentido, “Legaldata, Protección de Datos y Servicios

Jurídicos de las T.I.C.” proporciona asesoramiento jurídico, en todo
el territorio nacional, a las empresas que manejan datos de carácter
personal, en las siguientes materias:
 Realización de Informes de adecuación a la legislación

vigente en materia de Protección de Datos de Carácter
Personal.
 Clasificación de ficheros según su contenido y finalidad así

como inscripción y actualización de tales ficheros en el
Registro General de Protección de Datos.
 Mediación y representación del cliente ante la Agencia de

Protección de datos, gestionando altas, modificaciones o
cancelaciones de ficheros así como la defensa del cliente en
caso de apertura de expedientes.
 Redacción y actualización de los documentos de seguridad y

planificación de los procedimientos y prácticas en la actividad
del cliente al objeto de evitar lar responsabilidades derivadas
del incumplimiento de la legislación vigente en materia de
Protección de Datos de Carácter Personal.
 Elaboración de cláusulas informativas de Protección de Datos.
 Gestión de las reclamaciones de los derechos de los

afectados.
 Revisión del grado de cumplimiento de la legislación vigente

en materia de Protección de Datos de Carácter Personal.
 Seguridad Pública y Derecho Penal.

autor.
5.3 TENDENCIAS EN ATAQUES Y NUEVOS PROBLEMAS DE

SEGURIDAD
5.3.1 SPAM
Se llama SPAM a la práctica de enviar indiscriminadamente

mensajes de correo electrónico no solicitados. Generalmente, se
trata de publicidad de productos, servicios o de páginas web.
Los que envían SPAM suelen comprar o generar una lista de

direcciones de correo electrónico, y envían mensajes desde muchas
cuentas diferentes de toda la red. Además, suelen "falsificar" los
mensajes para ocultar quién los envía de verdad.
Todos aquellos que tenemos una dirección de correo electrónico
recibimos a diario varios mensajes publicitarios que no solicitamos
sobre cosas que no nos interesan.
Actualmente, se calcula que entre el 60 y el 80% de los mails
(varios miles de millones de mails por día) que se envían son no
solicitados, o sea, SPAM. El SPAM es perjudicial para todos, hasta
para la empresa que lo envía.
Por lo general, las direcciones son robadas, compradas,
recolectadas en la web o tomadas de cadenas de mail.
Yo mismo recibo cada día dos o tres ofertas de bases de datos con
millones de direcciones de email por unos pocos dólares.
Spam entonces es la palabra que se utiliza para calificar el correo
no solicitado enviado por Internet.
La mayor razón para ser indeseable es que la mayoría de las
personas conectadas a la Internet no goza de una conexión que no
les cueste, y adicionalmente reciben un cobro por uso del buzón.
Por lo tanto el envío indiscriminado de este tipo de correo ocasiona
costos al lector.
Las personas que envían SPAM generalmente compran o generan
una lista de direcciones de e-mail a los cuales les envían los
mensajes. El origen de estos mensajes tienden a ser "falsificados,"
para ocultar quién realmente las envió.

autor.
Spammer
Es aquel que usa direcciones de destinatarios desconocidos para el
envío de mensajes no solicitados en gran número. Hay tres tipos de
spammers:
Spam User: Es aquel spammer que usa direcciones de

destinatarios desconocidos para divulgar sus productos y servicios.
E-mail Deales: Es aquel spammer que vende listas de direcciones

de email sin autorización de sus propietarios.
Spam Dealer: Es aquel spammer que usa sus listas de direcciones

y vende servicios de spam a un spam user.
Hay que tener presente que los autores del SPAM cuentan con
herramientas muy sofisticadas para recolectar direcciones E-mail
válidas, entre ellas podemos citar los programas webspiders que
permiten rastrear páginas web, news y otros recursos de Internet.
Por lo tanto:
 Sólo hay que dar nuestra dirección E-mail a nuestros amigos y

conocidos.
 No publicar nuestra dirección E-mail en las News o en páginas
web.
 No rellenar formularios en los que se soliciten nuestros datos
personales.
 Nunca hay que contestar a un mensaje de SPAM ya que en
muchos casos la dirección del remitente será falsa y nos
devolverán el mensaje y si no es falsa servirá a la empresa de
publicidad para saber que nuestra dirección E-mail es
correcta.
Los programas de correo suelen incluir sistemas de filtrado de

mensajes que pueden ser útiles para evitar el SPAM. Es la solución
de andar por casa para tener un programa anti-SPAM sin gastar
dinero.

autor.
5.3.2 MALWARE
Malware (también llamado badware, software malicioso o software
malintencionado) es un software que tiene como objetivo infiltrarse
en el sistema y dañar la computadora sin el conocimiento de su
dueño, con finalidades muy diversas, ya que en esta categoría
encontramos desde un troyano a un spyware.
Programa maligno. Cualquier programa creado con intenciones de
molestar, dañar o sacar provecho en las computadoras infectadas.
En general, es fácil determinar si un programa es (o contiene) un
malware: sus actividades son ocultas y no son anunciadas al
usuario. Pero existen casos en que la distinción no es clara,
provocando hasta demandas por parte de los desarrolladores de
estos programas a los antivirus y antiespías que los detectan como
malignos.
Esta expresión es un término general muy utilizado por
profesionales de la computación para definir una variedad de
software o programas de códigos hostiles e intrusivos. Muchos
usuarios de computadores no están aún familiarizados con este
término y otros incluso nunca lo han utilizado.
Sin embargo la expresión "virus informático" es más utilizada en el
lenguaje cotidiano y a menudo en los medios de comunicación para
describir todos los tipos de malware.
Se debe considerar que el ataque a la vulnerabilidad por malware,
puede ser a una aplicación, una computadora, un sistema operativo
o una red.
Existen varios factores que hacen a un sistema más vulnerable:
 Código sin confirmar - Un código en un diskette, en CD-ROM

o USB, se puede ejecutar por la irresponsabilidad o ignorancia
del usuario.
 Defectos - La mayoría de los sistemas contienen errores que
se pueden aprovechar por el malware, mientras no se ponga
el parche correspondiente.
 Homogeneidad - Cuando todas las computadoras en una red
funcionan con el mismo sistema operativo, sí pueden
corromper ese SO, podrán afectar cualquier computadora en
el que funcione.

autor.
 Sobre-privilegios del código - La mayoría de los sistemas

operativos permiten que el código sea ejecutado por un
usuario con todos los derechos.
 Sobre-privilegios del usuario - Algunos sistemas permiten que
todos los usuarios modifiquen sus estructuras internas.
Bugs
La mayoría de los sistemas contienen bugs (errores) que pueden
ser aprovechados por el malware. Los ejemplos típicos son los
desbordamiento de búfer (buffer overflow), en los cuales la
estructura diseñada para almacenar datos en un área determinada
de la memoria permite que sea ocupada por más datos de la que le
caben, sobre escribiendo áreas anexas. Esto puede ser utilizado
por el malware para forzar al sistema a ejecutar su código.
Clasificación
Existen muchísimos tipos de malware, aunque algunos de los más

comunes son los virus informáticos, los gusanos, los troyanos, los
programas de spyware/adware o incluso ciertos bots.
Dos tipos comunes de malware son los virus y los gusanos
informáticos, este tipo de programas tienen en común la capacidad
para auto replicarse, es decir, pueden contaminar con copias de sí
mismos y en algunas ocasiones mutando, la diferencia entre un
gusano y un virus informático radica en la forma de propagación, un
gusano opera a través de una red, mientras que un virus lo hace a
través de ficheros a los que se añade.
Los virus informáticos utilizan una variedad de portadores.
Los blancos comunes son los archivos ejecutables que son parte
de las aplicaciones, los documentos que contienen macros (Virus
de macro), y los sectores de arranque de los discos de 3 1/2
pulgadas y discos duros (Virus de boot, o de arranque). En el caso
de los archivos ejecutables, la rutina de infección se produce
cuando el código infectado es ejecutado, ejecutando al primero el
código del virus.
Normalmente la aplicación infectada funciona correctamente.
Algunos virus sobrescriben otros programas con copias de ellos
mismos, el contagio entre computadoras se efectúa cuando el
software o el documento infectado van de una computadora a otra y
es ejecutado.

autor.
Cuando un software produce pérdidas económicas en el usuario del

equipo, también se clasifica como software criminal o Crimeware,3
término dado por Peter Cassidy, para diferenciarlo de los otros tipos
de software malignos, en que estos programas son encaminados al
aspecto financiero, la suplantación de personalidad y el espionaje,
al identificar las pulsaciones en el teclado o los movimientos del
ratón o creando falsas páginas de bancos o empresas de
contratación y empleo para con ello conseguir el número de cuenta
e identificaciones, registros oficiales y datos personales con el
objetivo de hacer fraudes o mal uso de la información.
También es utilizando la llamada Ingeniería social, que consiste en
conseguir la información confidencial del propio usuario mediante
engaños, como por ejemplo, mediante un correo en donde mediante
engaños se solicita al usuario enviar información privada o entrar a
una página falsificada de Internet para hacerlo.
Métodos de protección
 Usar sistemas operativos más seguros, mejores y efectivos

que windows como GNU/Linux, Mac OS o FreeBSD.
 Utilizar una cuenta de usuario con pocos privilegios (no
administrador) en su equipo, solo utilizar la cuenta de
administrador cuándo se deba cambiar una configuración o
instalar un software de confianza. De todas maneras, se debe
ser cauteloso con lo que se ejecuta.
 Cada vez que se transfiera un archivo desde o hacia Internet
se debe tener la precaución de revisarlo contra virus,
crimeware o malwares, pero lo más importante saber de
dónde proviene.
 Se debe comprobar todos y cada uno de los medios
magnéticos (Diskettes, ya en desuso), soportes ópticos (CDS,
DVD, Blu-ray) o tarjetas de memoria (SD, MMC, XD, compact
Flash), que se introduzcan en el ordenador.
 Comprobar los archivos comprimidos (ZIP, RAR, ACE, CAB,
7z..).
 Hacer copias de respaldo de programas y documentos
importantes, pueden ser guardados en un Pendrive, CD, DVD,
entre otros medios externos.
 No instalar programas de dudoso origen.

autor.
 Evitar navegar por sitios potencialmente dañinos buscando

cosas como "pornografía", "programas gratis", "mp3 gratis",
claves, licencias o cracks para los programas comerciales.
 Evita descargar programas, archivos comprimidos o
ejecutables, desde redes peer-to-peer ya que no se sabe el
real contenido de la descarga.
 Crear una contraseña de alta seguridad.
 Mantener las actualizaciones automáticas activadas, como por
ejemplo el Windows Update.
 Tener un programa antivirus y un firewall (también llamados
cortafuegos) instalados en el ordenador, un anti-espías como
SpywareBlaster, Spybot - Search & Destroy, y un filtrador de
IP' maliciosas como el PeerGuardian que eventualmente
también frena troyanos.
 También es importante tener actualizados estos programas ya
que cada día aparecen nuevas amenazas.
 Desactivar la interpretación de Visual Basic VBS y permitir
JavaScript JS, ActiveX y cookies sólo en páginas web de
confianza.
 Seguir las políticas de seguridad en cómputo.

autor.
5.3.3 EXPLOITS DE DÍAS CERO
El término "Zero day" (o "día 0"), se aplica en este caso a un exploit

hecho público para una vulnerabilidad de la que aún no existe un
parche, generalmente el mismo día de haber sido descubierta.
Un ataque o amenaza de día-cero (o también hora-cero) es un
ataque contra un ordenador, a partir del cual se intentan explotar
determinadas vulnerabilidades de algún programa o programas que
corren bajo el mismo.
Normalmente estas vulnerabilidades son desconocidas, no están
publicadas o no existe un parche que las solvente. El término día
cero se utiliza también para describir virus desconocidos o virus de
día-cero.
Los exploits de día 0 se liberan antes de que el vendedor del parche
lo libere públicamente. Este tipo de exploits circulan generalmente
entre las filas de los potenciales atacantes hasta que finalmente son
liberados en foros públicos. Un exploit de día-cero normalmente es
desconocido para la gente y el vendedor del producto.
Ventana de vulnerabilidad
Los ataques día-cero ocurren cuando una vulnerabilidad tiene una

ventana de tiempo existente entre el tiempo en el que se publica
una amenaza y el tiempo en el que se publican los parches que los
solucionan. Normalmente estos parches los preparan los propios
responsables del programa "defectuoso" en cuestión (sobre todo
con los programas de pago).
La línea de tiempo que se emplea para los virus y troyanos, entre

otros es la siguiente:
 Publicación del ataque o exploit al mundo

 Detección y estudio del problema
 Desarrollo de una solución al mismo
 Publicación del parche, (o firma del virus si procede), para
evitar el exploit.
 Distribución e instalación del parche en los sistemas de los
usuarios y actualización de los antivirus. Este proceso puede
durar horas o, incluso, días. Todo el tiempo que dura este
proceso es el que dura la ventana de vulnerabilidad.

autor.
5.3.4 METASPLOITS
El Proyecto Metasploit es un proyecto open source de seguridad

informática que proporciona información acerca de vulnerabilidades
de seguridad y ayuda en tests de penetración y en el desarrollo de
firmas para Sistemas de Detección de Intrusos.
Su subproyecto más conocido es el Metasploit Framework, una

herramienta para desarrollar y ejecutar exploits contra una máquina
remota. Otros subproyectos importantes son las bases de datos de
opcodes (códigos de operación), un archivo de shellcodes, e
investigación sobre seguridad. Inicialmente fue creado utilizando el
lenguaje de programación de scripting Perl, aunque actualmente el
Metasploit Framework ha sido escrito de nuevo completamente en
el lenguaje Ruby.
Metasploit proporciona información útil para las personas que

realizan pruebas de penetración, el desarrollo de la firma IDS, y
explotar la investigación
Este proyecto fue creado para proporcionar información sobre las

técnicas de explotación y de crear un recurso útil para explotar a los
desarrolladores y profesionales de la seguridad. Las herramientas y
la información en este sitio se proporcionan para la investigación en
seguridad jurídica y propósitos de prueba. Metasploit es un
proyecto gestionado por la comunidad por Metasploit LLC.

autor.
5.3.5 OTROS
Las tendencias de ataque de los códigos maliciosos se
concentraron fundamentalmente en las redes sociales y plataformas
2.0 como Twitter y Slideshare.
Gusano Koobface: se expandió a través de la red social
microblogging utilizando una técnica de ingeniería social
relacionada con los videos de los usuarios. Además el sitio recibió
ataques de denegación de servicios posiblemente asociado a la
proliferación del gusano Koobface.
Presentaciones Slideshare: para propagar malware a través de la
creación de falsas diapositivas que contenían enlaces maliciosos.
Mayor cantidad de abuso de servidores ajenos y vulnerables a

través de herramientas automáticas (bot): para encontrar estos
servidores e instalar scripts, que permitan vulnerar sistemas no
actualizados de usuarios y empresas, infectándolos.
Mayor movilidad del malware destinado a servidores

vulnerables e incremento en la cantidad de variantes de cada
malware: Esto tiene como objetivo lograr menores índices de
detección por parte de las herramientas antivirus.
Registro y aparición de dominios creados para propagar

malware utilizando técnicas de posicionamiento en
buscadores: (SEO). En este sentido el rogue actual ha demostrado
ser muy efectivo en su propagación.
Mayor disponibilidad de herramientas públicas y/o comerciales

para realizar los ataques mencionados: Estas herramientas son
desarrolladas por grupos que proveen servicios ilegales de este
estilo.
Con este tipo de movilidad en Internet cada componente dañino

posee un rol dinámico y activo, buscando maximizar la posibilidad
de infección ya sea a través de scripts, de vulnerabilidades
encontradas o a través de las miles de variantes de cada malware
en particular que aparecen diariamente.

autor.
Al igual que en el caso de Twitter, se continúa advirtiendo el uso de

técnicas de Ingeniería Social para captar la atención de los
usuarios, por lo que es fundamental prestar especial atención a la
hora de abrir enlaces dentro de sitios web poco confiables o en los
cuales otros usuarios pueden ser generadores de contenidos.
El código malicioso está haciendo uso de una de sus características

más comunes que es la reproducción y lo hace a través de sitios
con gran cantidad de visitas como son las redes sociales es por eso
que debemos estar alertas a este tipo de riesgos controlando el
acceso a estas páginas y no descargando ningún tipo de aplicación
ni accediendo a links que no sean de confianza y conjuntamente a
una solución de antivirus efectiva estaremos mitigando en gran
parte que tengamos un incidente de seguridad por este tipo de
riesgos.

autor.

autor.

Antología Seguridad Informatica II

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Antología Seguridad Informatica II

Uploaded by

Copyright:

Available Formats

Institución Certificada

Norma ISO 9001:2000

INSTITUTO TECNOLÓGICO SUPERIOR DE

ESP - SEGURIDAD INFORMATICA II

Revisado por los integrantes de la academia

Material compilado con fines académicos

Fecha elaboración: Octubre 2009

1.1 Sistemas y Mecanismos de Protección

Asignatura: Seguridad Informática II

1.3.8 Nuevas Tecnologías de Seguridad para redes Inalámbricas

Asignatura: Seguridad Informática II

Monitoreo de la seguridad informática

Asignatura: Seguridad Informática II

Control de la seguridad informática

Asignatura: Seguridad Informática II

Entorno social e impacto económico de la seguridad

4.1 Legislación Mexicana

Nuevas tendencias y tecnologías

Asignatura: Seguridad Informática II

1. IMPLEMENTACIÓN DE LA SEGURIDAD INFORMÁTICA

1.1 Sistemas y Mecanismos de Protección

La seguridad informática consiste en asegurar que los recursos del sistema de

Podemos entender como seguridad un estado de cualquier tipo de información

 Integridad: La información sólo puede ser modificada por quien está

Dependiendo de las fuentes de amenaza, la seguridad puede dividirse en tres

1.1.1 Seguridad Física

La Seguridad Física consiste en la aplicación de barreras físicas y

Asignatura: Seguridad Informática II

Las principales amenazas que se prevén en la seguridad física son:

1. Desastres naturales, incendios accidentales tormentas e inundaciones.

Son ejemplos de mecanismos o acciones de seguridad física:

- Cerrar con llave el centro de cómputos.

- Tener extintores por eventuales incendios.

- Instalación de cámaras de seguridad.

- Control permanente del sistema eléctrico, de ventilación, etc.

1.1.1.1 PROTECCIÓN DEL HARDWARE

El hardware es frecuentemente el elemento más caro de todo sistema

Son muchas las amenazas al hardware de una instalación informática; aquí se

Problemas a los que nos enfrentamos:

1.1.1.1.1 ACCESO FÍSICO

Asignatura: Seguridad Informática II

Otros ataques se simplifican enormemente, por ejemplo, si deseamos obtener

Incluso dependiendo el grado de vulnerabilidad del sistema es posible tomar el

Para evitar todo este tipo de problemas deberemos implantar mecanismos de

En muchos casos es suficiente con controlar el acceso a las salas y cerrar

Para la detección de accesos se emplean medios técnicos, como cámaras de

Asignatura: Seguridad Informática II

1.1.1.1.2 DESASTRES NATURALES

Además de los posibles problemas causados por ataques realizados por

Algunos desastres naturales a tener en cuenta:

 No situar equipos en sitios altos para evitar caídas,

Otro desastre natural importante son las tormentas, especialmente frecuentes

En entornos normales es recomendable que haya un cierto grado de humedad,

Asignatura: Seguridad Informática II

cortocircuitos que genera en los sistemas electrónicos. Contra ellas podemos

Por último mencionaremos el fuego y los humos, que en general provendrán

Alteraciones del entorno

Deberemos contemplar problemas que pueden afectar el régimen de

1.1.1.2 CONTRATACIÓN DE PERSONAL

Contratamos a un consultor externo o a personal de mantenimiento para

Siempre es conveniente que una persona del personal de administración está

Revisar el entrenamiento del personal y políticas que aseguren alcanzar el nivel

Controles y directivas adicionales pueden ser requeridas para ampliar la

Asignatura: Seguridad Informática II