CAS-CHILE

25 Aos

AUDITORA DE SEGURIDAD
INFORMTICA

Daniel P. Valds Gmez

PROCESO DE
ANLISIS DE RIEGOS
Creacin de un inventario de activos.
Simplificacin de activos en dominios.
Deteccin de vulnerabilidades y amenazas
asociadas.
Se
utilizan
complementariamente los servicios de
Hacking tico si as se solicita.
Evaluacin de probabilidades e impactos.
Anlisis de controles ISO implantados.
Obtencin del riesgo.

LA GESTIN DE
LOS RIESGOS
Aplicacin de las medidas de salvaguarda con el
objetivo de reducirlos al nivel deseado.

VULNERABILIDADES
Son los puntos ms dbiles que, al ser explotados por
amenazas, afectan la confidencialidad, disponibilidad e
integridad de la informacin de un individuo o empresa.

TIPOS DE
AMENAZAS

Fsicas
Naturales
De Hardware
De Software
De Almacenamiento
De Conexin
Humanas

PROGRAMACIN
SEGURA
Es una rama de la programacin que estudia la seguridad
del cdigo fuente de un software cuyo objetivo es encontrar
y solucionar los errores de software, esto incluye:
Utilizacin de funciones seguras para proteger de desbordamientos de pila.
Declaracin segura de estructura de datos.
Control del trabajo con el flujo de datos.
Anlisis profundo de otros errores de software mediante testeos del software en ejecucin
y creacin de parches para los mismos.
Diseo de parches heursticos y meta heursticos para proveer un cierto grado de
seguridad proactiva.
Utilizacin de criptografa.
Otros mtodos para evitar que el software sea crackeado.

CDIGOS MALICIOSOS
Los cdigos maliciosos constituyen, en la actualidad, una de
las amenazas informticas ms propagadas y una de las
que mayor prdida econmica y de tiempo proyecta en
ambientes hogareos y corporativos. Son programas que
provocan algn dao intencional en los sistemas
informticos.
Al respecto, un ejemplo prctico, se da al mencionar genricamente como virus a
cualquier programa daino cuando tcnicamente no lo es y en realidad, la palabra
adecuada para llamarlos es malware, o segn su traduccin, cdigo malicioso.
La mayora de estas amenazas informticas se encuentran representadas por
troyanos, spyware/adware y gusanos.
Los virus informticos se caracterizan por su capacidad de infectar a otros
programas, por lo general, inyectando su propio cdigo malicioso dentro del cdigo
original del programa husped.

CDIGOS
MALICIOSOS
A diferencia de los virus, los spyware/adware son programas
cuyo objetivo radica principalmente en el intento de recolectar
informacin de los usuarios acerca de sus hbitos de
navegacin, generalmente sin el consentimiento de los
usuarios.
Los gusanos informticos, los spyware/adware y los troyanos
son mucho ms difundidos que el virus propiamente dichos.
Los troyanos fundan sus caractersticas principalmente en el
engao: aparentando ser un programa benigno, til e inofensivo
cuando en realidad no lo son u ocultndose en otros programas
tiles.

CDIGOS
MALICIOSOS

Troyanos Downloader: Al comprometer una computadora

se encargan de descargar otros cdigos maliciosos.
Troyanos Bancarios: Utilizados para realizar fraudes a
travs de datos confidenciales de los usuarios.
Troyanos Clicker: Aquellos que realizan fraudes a travs de
clic en sitios con publicidad.
Troyanos Backdoors: Permite el acceso a un sistema de
una manera no convencional.
Troyanos Bot: Convierte las computadoras en equipos
zombies que luego forman parte de los botnets.

CDIGOS
MALICIOSOS
El Malware actual suele
contener componentes que
muchas veces dificultan su identificacin en cuanto a la
categora que representan, ya que un solo cdigo
malicioso suele tener las caractersticas propias de
varios de ellos.

Por ejemplo, un troyano puede diseminarse adherido a un gusano

y una vez activado, desplegar funcionalidades maliciosas como
backdoors o rookits (programas utilizados para ocultar procesos y
conexiones en un sistema).

CDIGOS
MALICIOSOS
incluye un esquema con la relacin

A continuacin, se
existente entre los diferentes elementos que intervienen en el
anlisis de riesgos.
Sobre
Activos

Amenazas

Implican
Aumentan
Vulnerabilid
ades

Amenazas
Explotar

Reducen
Cortamedi
das

Pueden Reduci
con

METODOLOGAS DE ANLISIS
DE RIESGO
CUALITATIVOS
Es el mtodo de anlisis de riesgo ms utilizado en la toma de
decisiones en proyectos empresariales, los emprendedores se
apoyan en su juicio, experiencia e intuicin para la toma de
decisiones:
Se pueden utilizar cuando el nivel de riesgo sea bajo y no justifica el
tiempo y los recursos necesarios para hacer un anlisis completo.
O bien porque los datos numricos son inadecuados para un anlisis
ms cuantitativo que sirva de base para un anlisis posterior ms
detallado del riesgo global del emprendedor.

METODOLOGAS DE ANLISIS
DE RIESGO
Los mtodos cualitativos incluyen:
Brainstorming.
Cuestionario de entrevistas estructuradas.
Evaluacin para grupos multidisciplinarios.
Jucio de especialistas y expertos (Tcnica
Delphi).

METODOLOGAS DE ANLISIS
DE RIESGO
SEMI -CUALITATIVOS
Se utilizan clasificaciones de palabra como alto, medio o bajo, o
descripciones ms detalladas de la probabilidad y la
consecuencia.
Estas clasificaciones se demuestras en relacin con una escala
apropiada para calcular el nivel de riesgo. Se debe poner atencin
en la escala utilizada a fin de evitar malos entendidos o malas
interpretaciones de los resultados del clculo.

METODOLOGAS DE ANLISIS
DE RIESGO
CUANTITATIVOS
Se consideran mtodos cuantitativos a aquellos que
permiten asignar valores de ocurrencia a los diferentes
riesgos identificados, es decir, calcular el nivel de riesgo
del proyecto.
Los mtodos cuantitativos incluyen:
- Anlisis de probabilidad.
- Anlisis de consecuencias.
- Simulacin computacional.

IDENTIFICACIN DE
ACTIVOS
Se definen como los recursos de una compaa que son
necesarios para la consecucin de sus objetivos de
negocio. Ejemplo:
Informacin.
Equipamiento.
Conocimiento.
Sistemas.

IDENTIFICACIN DE
ACTIVOS
Pueden ser cuantificados con un valor econmico
(activos tangibles) como el software y hardware y con
valores monetarios (activos intangibles) tales como el
prestigio o la confianza de los clientes.
El proceso de elaborar un inventario de activos es
uno de los aspectos fundamentales de un correcto
anlisis de riesgos.

IDENTIFICACIN DE
AMENAZAS
Se define como un evento que puede desencadenar un incidente en la
organizacin, produciendo daos materiales o prdidas inmateriales en sus
servicios.

Clasificacin General de
Amenazas

IDENTIFICACIN DE
AMENAZAS
Dependiendo de la organizacin y el proceso analizado, las amenazas
tendrn una probabilidad de ocurrencia que depender de la existencia de
una vulnerabilidad que pueda ser explotada, para materializarse en un
incidente.
Por ejemplo, una amenaza del tipo de desastre natural como es un terremoto, tendr una mayor
probabilidad de ocurrencia en una empresa con oficinas en Japn, donde los terremotos ocurren
con mayor frecuencia, que en Espaa.
Resulta ms complicado valorar amenazas humanas (ataques maliciosos, robos de informacin,
etc.) que las amenazas naturales. En el componente humano existen dos factores:

AMENAZA = CAPACIDAD X MOTIVACIN

La motivacin es una caracterstica humana que es difcil de valorar, pero que sin embargo es un
factor a considerar: empleados descontentos, ex empleados, etc.

IDENTIFICACIN DE
AMENAZAS
Para identificar las vulnerabilidades que pueden
afectar a una compaa, debemos responder a la
pregunta Cmo puede ocurrir una amenaza?
Para responder a esta pregunta ponemos como
objetivo la amenaza y definimos las distintas
situaciones por las que puede ocurrir la misma,
evaluando si dentro de la compaa puede darse esa
circunstancia; es decir, si el nivel de proteccin es
suficiente para evitar que se materialice la amenaza.

IDENTIFICACIN DE
AMENAZAS
Por ejemplo, si nuestra Amenaza es que nos roben datos estratgicos de la
compaa podemos establecer, como otros, los siguientes escenarios:
Escenarios

Nivel de Proteccin

1. Entrada no autorizada a los datos a

travs del sistema informtico.

Existe un control de acceso a los

datos?

2. Robo de datos de los dispositivos de

almacenamiento magntico.

Estn los dispositivos de

almacenamiento protegidos y
controlados de forma adecuada?

3. Robo de datos mediante accesos no

autorizados.

Existen perfiles adecuados de acceso

a los datos?

OPTIMIZACIN DEL
PROCESO DE
AUDITORA
QU HACER
Contar con la funcin del auditor interno.
Capacitar a todos los empleados de la compaa respecto a las
caractersticas del negocio, y las actividades operativas de la
empresa.
Involucrar a la alta gerencia (directores/dueos) en el negocio y
la administracin. Esto permite al auditor recibir de manera directa,
la visin y valores de los accionistas.
Armar presupuestos econmicos por reas, para que sea
finalmente el CFO quin compile los presupuestos finales.

OPTIMIZACIN DEL
PROCESO DE
AUDITORA
QU NO HACER
Evitar la excesiva confianza en personas con roles clave.
Segregar las funciones importantes y aplicar un control por
oposicin.
No contar con un sistema operativo integrado: Dificulta el
proceso de auditora y genera riesgos de errores o fraudes. En
muchos casos las empresas contienen distintos aplicativos que
requieren diversas interfaces para finalmente procesar toda la
informacin contable.
Desconocer el rol y las responsabilidades del auditor atentan
contra la emisin de informacin auditada oportuna y de calidad.

CONTROLES
PREVENTIVOS
Identifican potenciales problemas antes de que ocurran.
Previenen errores, omisiones o actos maliciosos.
Ejemplos:
- Realizar copias de seguridad de los archivos.
- Contratar seguros para los activos.
- Establecer procedimientos/ polticas de seguridad.
- Establecer control de acceso a la informacin.
- Establecer control de acceso fsico.

CONTROLES
DETECTIVOS
Identifican y reportan la ocurrencia de un error, omisin o acto
malicioso ocurrido.
Ejemplos:
- Monitorizacin de eventos.
- Auditoras Internas
- Revisiones peridicas de procesos.
- Sensores de humo.
- Deteccin de virus.

CONTROLES
CORRECTIVOS
Minimizan el impacto de una amenaza.
Solucionan errores detectados por controles detectivos.
Identifican la causa de los problemas con el objeto de corregir
errores producidos.
Modifican los procedimientos para minimizar futuras ocurrencias
del problema.
Ejemplos:
- Parches de Seguridad.
- Correccin de daos por virus.
- Recuperacin de datos perdidos.

CRITERIOS DE
EVALUACIN DE
RIESGOS
riesgo aceptable
se toma como base de

Para desarrollar el concepto de

comparacin el nivel de riesgo en las actividades ms seguras, o tambin los
valores que podramos llamar de riesgo natural.
Esto nos permite comprender que en toda actividad humana existir un riesgo, aunque sea
muy pequeo, que naturalmente aceptamos cuando desarrollamos dicha actividad. Los riesgos
podremos disminuirlos pero nunca eliminarlos totalmente.
La pregunta a responder ser Cul es el nivel de riesgo que debemos aceptar? Para ello
debemos tener presente que en toda la sociedad organizada, las normas y reglamentos fijan
los deberes y derechos de sus miembros; y tambin en ellas se establecen los valores lmites
frente a situaciones que podran ocasionar riesgos innecesarios.
De esta manera los valores de riesgo aceptable para el conjunto de la sociedad, son aquellos
valores de riesgo menores que los lmites establecidos en las normas y reglamentos. El nivel
de riesgo aceptable, se constituye en una primera referencia para definir el diseo del
sistema de seguridad, de su costo y de la efectividad de las acciones de prevencin.

GUA PARA LA EVALUACIN DE

UN PLAN DE RIESGO
1.- Comprende cmo funciona el plan de Gestin de Riesgos.
2.- Define tu proyecto.
3.-Consigue aportaciones de los dems.
4.- Identifica las consecuencias de cada riesgo.
5.- Elimina los asuntos irrelevantes.
6.- Haz una lista de los elementos de riesgos identificados.
7.- Determina el riesgo del elemento.
8.- Clasifica los riesgos.
9.- Computa el riesgo total.
10.- Desarrolla estrategias de migracin.
11.- Desarrolla planes de contingencia.
12.-Analiza la efectividad de cada plan.
13.- Computa el riesgo efectivo.
14.-Vigila tus riesgos.

HERRAMIENTAS DEL SISTEMA

OPERATIVO
Respuesta o Reply quiere decir que el equipo remoto est
encendido y la tarjeta de red operativa. Otro dato importante es
la Velocidad (tiempo), ya que si fuera muy lenta lo mismo
suceder con cualquier conexin que realicemos a ese equipo.
En caso de no haber respuesta puede ser que el equipo est
apagado, la tarjeta de red no operativa o el cable desconectado.
Ping localhost t
Ping con nombres de dominio

HERRAMIENTAS DEL SISTEMA

OPERATIVO
TRACE ROUTE
Resulta un comando muy til para determinar el camino que siguen
los paquetes de red desde un equipo a otro y as determinar si existe
algn problema en algn momento entre ambos.
El comando para poder ejecutar nuestro particular anlisis es tracert
(windows) o tracerout (linux) desde la lnea de comandos.
Como ejemplo, en Linux podemos hacer un traceroute a google.com
y podramos obtener lo siguiente
user@localhost:/#traceroutewww.google.com
Traceroute to www.i.google.com (64.233.169.99), hops ,ax, 40 byte packets.

HERRAMIENTAS DEL SISTEMA

OPERATIVO
IPCONFIG
Nos devela la configuracin bsica de red en nuestro equipo como la
direccin IP, la mscara de enlace y con algunas opciones tambin
la direccin MAC que identifica de forma inequvoca nuestra tarjeta
de red.
IPCONFIG/ALL
En esta captura podemos observar que adems nos muestra la
marca y modelo de las tarjetas de red as como las direcciones MAC
de nuestras tarjetas entre otros datos.

HERRAMIENTAS DE ANLISIS DE
RED
NMAP
De Network Mapper, es una utilidad de software libre para
explorar. Administrar y auditar la seguridad de redes de
ordenadores. Detecta host online, sus puertos abiertos,
servicios y aplicaciones corriendo con ellos, su sistema
operativo, que firewalls/filtros corren en una red y de qu tipo
son.
NETCAT
NetCat, la navaja suiza de los hackers y administradores.
NBTSCAN
Es un explorador conocido de la red de NetBIOS. Es un programa para
explorar las redes del IP para la informacin conocida de NetBIOS.

HERRAMIENTAS DE
VULNERABILIDAD
Nessus es un escner de vulnerabilidades que funciona
mediante un proceso de alta velocidad por el que
encuentra los datos sensibles y trabaja con la auditora de
configuraciones y el perfil activo.
Este programa es de gran utilidad para los dispositivos de uso
personal pero tambin para las grandes empresas que se manejan
con equipos conectados en red, pues trabaja mediante uso de DMZ.
No podemos olvidar de diferenciar las auditoras de seguridad que Nessus
es capaz de soportar. En primer lugar, tenemos que hablar de puerto de
credenciales que estn basadas tanto en sistemas operativos de Windows
como la gran parte de las Plataformas Unix.

ANALIZADORES DE PROTOCOLOS
Dsniff nos demuestra lo inseguiras que son nuestras
redes, sobre todo si nos empeamos en enviar
contraseas en formato texto plano. Con este sniffer, nos
daremos cuenta de lo realmente importante que puede
llegar a ser la utilizacin de la encriptacin en nuestras
comunicaciones diarias.
Para hacernos una idea de las posibilidades del dsniff, conctese
directamente a internet como lo hace habitualmente, en otra sesin
como root escribir: #dsniff i ppp0 .
Entrar ahora usando ssh y visualice cmo en este caso nuestro sniffer no
captura la contrasea.

ANALIZADORES DE PROTOCOLOS
Cain & Abel Permite recuperar contraseas de una
amplia variedad de protocolos, entre ellos FTP, SMT, POP3,
HTTP, MySQL, ICQ, Telnet y otros, adems de poder
recuperar tambin las claves ocultas en Windows bajo la
tpica lnea de asteriscos.

Can & Abel es una herramienta de

recuperacin de contrasea para sistemas
operativos de Microsoft.

ANALIZADORES DE PGINAS WEB

Compruebe la seguridad de su equipo con Acunetix Web
Vulnerability Scanner. Los Firewalls, SSL y los servidores
cerrados son intiles contra el pirateo de aplicaciones web.
Cualquier defensa a nivel de seguridad de la red no proporciona
proteccin contra ataques a aplicaciones web mientras sean
lanzadas desde el puerto 80 que tiene que mantenerse abierto.
Es ms, las aplicaciones web son hechas a medida, por lo tanto menos
comprobadas que en el software propio, y con mayor probabildiad tienen
vulnerabilidades no descubiertas. La auditora manual en busca de
vulnerabilidades es virtualmente imposible necesita ser realizado
automtica y regularmente.

ANALIZADORES DE PGINAS WEB

Acunetix Web Vulnerability Scanner automticamente
chequea sus aplicaciones web en busca de inyecciones
SQL, XSS y otras vulnerabilidades web.
Asegrese de que su sitio web es seguro contra ataques web.
Automticamente comprueba que el sistema en busca de inyecciones SQL
y vulnerabilidades de scripts a lo largo del sitio web.
Chequea la solidez de las contraseas en las pginas de autentificacin
(formatos HTTP o HTML). Escanea aplicaciones Javascript / AJAX para
vulnerabilidades de seguridad.

ANALIZADORES DE PGINAS WEB

Paros Proxy
es una
aplicacin que funciona
como un Proxy y que
permite
capturar
las
peticiones tanto en HTTP
como
HTTPS
para
simplemente registrarlas a
modo de debug o para
poder modificarlas.

ATAQUES
En criptografa, se denomina ataque de fuerza bruta a la
forma de recuperar una clave probando todas las
combinaciones posibles hasta encontrar aquella que
permite el acceso.
Dicho de otro modo, define al procedimiento por el cual a partir del
conocimiento del algoritmo de cifrado empleado y de un par texto
claro/texto cifrado, se realiza el cifrado.
Software de Fuerza Bruta (Brutus force)
Brutus es uno de los ms rpidos, ms flexibles password crackers remoto
que puede obtener libremente. Est disponible para Windows 9x, NT y
2000 X versin disponible, aunque se trata de una posibilidad en algn
momento en el futuro. Brutus se hizo por primera vez a disposicin del
pblico en octubre de 1998 y desde entonces se han producido al menos
70.000 descargas y ms de 175.000 visitantes a esta pgina.

ATAQUES
John The Ripper
Es un programa de criptografa que aplica fuerza bruta para
desifrar contraseas. Es capaz de romper varios algoritmos
de cifrado o hash como DES, SHA -1, y otros.
Es una herramienta de seguridad muy popular, ya que permite a los
administradores de sistemas comprobar que las contraseas de los
usuarios son suficientemente buenas.

PRINCIPIOS GENERALES DE
CORTAFUEGOS
Un cortafuegos o firewall es un sistema que previene el uso y el
acceso desautorizados al ordenador.
Los cortafuegos pueden ser software, hardware, o una combinacin de ambos. Se
utilizan con frecuencia para evitar que los usuarios desautorizados de internet tengan
acceso a las redes privadas conectadas con internet, especialmente intranets.
Todos los mensajes que entran o salen de la intranet pasan a travs del cortafuegos,
que examina cada mensaje y bloquea los que no cumplen los criterios de seguridad
especficos.
Es importante recordar que un cortafuegos no elimina problemas de virus del
computador, si no que cuando se utiliza conjuntamente con actualizaciones regulares
del sistema operativo y un buen software antivirus, aadir cierta seguridad y
proteccin adicionales para el computador o red.

PRINCIPIOS GENERALES DE
CORTAFUEGOS
Los cortafuegos de hardware proporcionan una fuerte proteccin
contra la mayora de las formas de ataque que vienen en el mundo
exterior y se pueden comprar como producto independiente o en routers
de banda ancha. un sistema que previene el uso y el acceso
desautorizados al ordenador.
Para usuarios particulares el corta fuego ms usado es el cortafuegos de software.
Un buen cortafuegos de software proteger el computador contra intentos de controlar
o acceder a l desde el exterior y generalmente proporciona proteccin adicional
contra los troyanos o gusanos de e-mail ms comunes.
La desventaja de los cortafuegos de software es que protegen
computador en el que estn instalados y no protegen una red.

solamente al

PRINCIPIOS GENERALES DE
CORTAFUEGOS
TIPOS DE TCNICAS DE CORTAFUEGOS
Packet Filter: Mira cada paquete que entra o sale de la red y lo acepta o
rechaza basndose en reglas definidas por el usuario. La filtracin del paquete
es bastante eficaz y transparente a los usuarios, pero es difcil de configurar.
Adems, es susceptible al IP spoofing.
Aplicacin Gateway: Aplica mecanismos de seguridad a ciertas aplicaciones,
tales como servidores web ftp y servidores telnet. Esto es muy eficaz, pero
puede producir una disminucin de las prestaciones.
Circuit-level Gateway: Aplica mecanismos de seguridad cuando se establece
una conexin TCP o UDP. Una vez que se haya hecho la conexin, los
paquetes pueden fluir entre los anfitriones sin ms comprobaciones.
Proxy Server: Intercepta todos los mensajes que entran y salen de la red. El
servidor proxy oculta con eficacia las direcciones de red verdaderas.

PRINCIPIOS GENERALES DE
CORTAFUEGOS
COMPONENTES DE UN CORTAFUEGOS
Packet Filter: El filtrado de paquetes se
puede utilizar para implementar
diferentes polticas de seguridad en la
red; el objetivo principal de todas ellas
suele ser evitar el acceso no autorizado
entre dos redes, pero manteniendo
intactos los accesos autorizados.
.