Proyecto de Investigación Formativa: Ensayo
Formación de una cultura de seguridad frente a robos de
información
Brandon Pé...
Lenguaje y Com unicación II EL ENSAYO. Proyecto de Investigac ión Form ativa
SUMARIO
Resumen
Sumario
Introducción
¿Por qué...
Lenguaje y Com unicación II EL ENSAYO. Proyecto de Investigac ión Form ativa
I. INTRODUCCIÓN
Estamos inmersos en un mundo ...
Lenguaje y Com unicación II EL ENSAYO. Proyecto de Investigac ión Form ativa
nada. Dicho acto es razón para ir directo a p...
Lenguaje y Com unicación II EL ENSAYO. Proyecto de Investigac ión Form ativa
En este sentido la estructura de la investiga...
Lenguaje y Com unicación II EL ENSAYO. Proyecto de Investigac ión Form ativa
“El Cóndor” a las oficinas de COSMOS (Compute...
Lenguaje y Com unicación II EL ENSAYO. Proyecto de Investigac ión Form ativa
En esencia, la seguridad de la Información pe...
Lenguaje y Com unicación II EL ENSAYO. Proyecto de Investigac ión Form ativa
Si una empresa establece una política de segu...
Lenguaje y Com unicación II EL ENSAYO. Proyecto de Investigac ión Form ativa
consistía en la transposición de las letras d...
Lenguaje y Com unicación II EL ENSAYO. Proyecto de Investigac ión Form ativa
Al decir que debería ser más empleada en la p...
Lenguaje y Com unicación II EL ENSAYO. Proyecto de Investigac ión Form ativa
Un firewall, muros de fuego o puertas de segu...
Lenguaje y Com unicación II EL ENSAYO. Proyecto de Investigac ión Form ativa
afán de aprender acerca de los sistemas de in...
Lenguaje y Com unicación II EL ENSAYO. Proyecto de Investigac ión Form ativa
existen hackers con un propósito malintencion...
Lenguaje y Com unicación II EL ENSAYO. Proyecto de Investigac ión Form ativa
19 – 33)26
, que son: ataques de acceso, modi...
Lenguaje y Com unicación II EL ENSAYO. Proyecto de Investigac ión Form ativa
inserción, la eliminación puede actuar sobre ...
Lenguaje y Com unicación II EL ENSAYO. Proyecto de Investigac ión Form ativa
Tarazona, 2007)30
, que realizó una prueba qu...
Lenguaje y Com unicación II EL ENSAYO. Proyecto de Investigac ión Form ativa
III. CONCLUSIONES
En esta sección, además de ...
Lenguaje y Com unicación II EL ENSAYO. Proyecto de Investigac ión Form ativa
REFERENCIAS BIBLIOGRÁFICAS
Andrew Whitaker y ...
Lenguaje y Com unicación II EL ENSAYO. Proyecto de Investigac ión Form ativa
Enrique M. Sánchez, “Una introducción al soft...
Lenguaje y Com unicación II EL ENSAYO. Proyecto de Investigac ión Form ativa
Joseph Weizenbaum, Potencia del ordenador y d...
Lenguaje y Com unicación II EL ENSAYO. Proyecto de Investigac ión Form ativa
Stuart McClure, Joel Scambray y George Kurt, ...
Lenguaje y Com unicación II EL ENSAYO. Proyecto de Investigac ión Form ativa
Anexo 01Anexo 01
Plan de investigación format...
Lenguaje y Com unicación II EL ENSAYO. Proyecto de Investigac ión Form ativa
Formando una cultura de seguridad frente a lo...
Lenguaje y Com unicación II EL ENSAYO. Proyecto de Investigac ión Form ativa
ser burlados por los villanos informáticos. A...
Lenguaje y Com unicación II EL ENSAYO. Proyecto de Investigac ión Form ativa
1. Argumentar la manera en que influye la seg...
Lenguaje y Com unicación II EL ENSAYO. Proyecto de Investigac ión Form ativa
César Tarazona (2007)
Carlos Tori (2008)
Jorg...
Lenguaje y Com unicación II EL ENSAY O. Proyecto de Investigación Form ativa
CARTOGRAFÍA DEL PLAN DE INVESTIGACIÓN FORMATI...
Lenguaje y Com unicación II EL ENSAY O. Proyecto de Investigación Form ativa
Anexo 02
Instrumentos de evaluación del Ensay...
Lenguaje y Com unicación II EL ENSAY O. Proyecto de Investigación Form ativa
Anexo 03
Instrumentos de evaluación de la exp...
Próxima SlideShare
Cargando en…5
×

Formación de una cultura de seguridad frente a robos informáticos

437 visualizaciones

Publicado el

Es posible que mediante la implantación de una política de seguridad se logre formar una cultura de seguridad para proteger los activos y datos de una empresa y/o persona.

Publicado en: Tecnología
0 comentarios
0 recomendaciones
Estadísticas
Notas
  • Sé el primero en comentar

  • Sé el primero en recomendar esto

Sin descargas
Visualizaciones
Visualizaciones totales
437
En SlideShare
0
De insertados
0
Número de insertados
3
Acciones
Compartido
0
Descargas
0
Comentarios
0
Recomendaciones
0
Insertados 0
No insertados

No hay notas en la diapositiva.

Formación de una cultura de seguridad frente a robos informáticos

  1. 1. Proyecto de Investigación Formativa: Ensayo Formación de una cultura de seguridad frente a robos de información Brandon Pérez Guevara Universidad Católica Santo Toribio de Mogrovejo Facultad de Ingeniería, Escuela de Sistemas y Computación, Ciclo 2015-0 Chiclayo Perú RESUMEN En el presente estudio se argumenta el problema del robo de información y se analiza al Hacking de acuerdo a sus variaciones (hacking ético y crackers, entre otros villanos informáticos). Además, presenta a la seguridad de información como requisito necesario para toda organización o empresa y sus buenas prácticas como solución a asaltos a través de la red. A su vez, la importancia de esta investigación radica en el buen manejo y almacenamiento de la información, ya que esta puede estar valorizada en grandes cantidades de dinero. Así pues, tratando de implementar una cultura de seguridad en las empresas. En conclusión, si no existe buena práctica de seguridad de información aparecerán, como consecuencia, los robos informáticos y una baja lucrativa de gran repercusión. PALABRAS CLAVE: cultura, seguridad, información ABSTRACT In the present study the problem of information theft is argued and analyzed by Hacking according to their variations (ethical hacking and crackers, among other computer villains). It presents the information security as a prerequisite for any organization or enterprise and good practices as a solution to assaults through the network. In turn, the importance of this research lies in the proper handling and storage of information, as this may be valued at large amounts of money. So, trying to implement a safety culture in companies. In conclusion, if does not exist good security practice information will appear, as a consequence, computer and steals a lucrative high-impact low. KEY WORDS: culture, security, information
  2. 2. Lenguaje y Com unicación II EL ENSAYO. Proyecto de Investigac ión Form ativa SUMARIO Resumen Sumario Introducción ¿Por qué formar una cultura de seguridad en las empresas? 2.1 Influencia de la seguridad de información en la empresa 2.1.1. ¿De qué manera se involucra la seguridad de información en la empresa? 2.1.2. Una política de seguridad como primer requisito 2.1.3. La alternativa de la encriptación 2.1.4. ¿Cómo implementar una seguridad basada en software? 2.2 La razón del ladrón informático 2.2.1. ¿Por qué ataca un villano informático? 2.2.2. ¿Cómo ataca un villano informático? Conclusiones Referencias bibliográficas Anexos Marco Arnao Vásquez 2
  3. 3. Lenguaje y Com unicación II EL ENSAYO. Proyecto de Investigac ión Form ativa I. INTRODUCCIÓN Estamos inmersos en un mundo donde tener una cuenta bancaria, un correo electrónico, una base de datos empresarial, etc., se ha convertido en algo primordial para cada una de las personas, organizaciones y empresas. Así mismo, tener todo tipo de contacto con esto demanda precaución para proteger nuestros datos y mantener la información aislada de cualquier intruso. Términos como “hacker”, “web”, “internet”, “sistema de información”, “cracker”, “seguridad”, etc., son últimamente unos de los vocablos más utilizados por una sociedad tecnológica que viene evolucionando hace décadas atrás y sobrepasará los límites y perspectiva del hombre y la tecnología. Las organizaciones cada día dependen más de un sistema de información y estructuras tecnológicas debido al auge producido por la implementación de tecnologías que facilitan el control de la información generada por dichas organizaciones. Así, frente al orgullo tecnológico, podemos encontrar a personas con altos conocimientos en redes e informática que tratarán de alguna manera estropear la riqueza de información alcanzada por una empresa. A su vez, estos cambios han provocado algún interés en las organizaciones que recogen, gestionan y transmiten la información a través de las distintas redes tecnológicas (internet, intranet, extranet, sistemas de información, etc.), acerca de protegerlas frente a cualquier sujeto malicioso. Es decir, algo más que se vuelve indispensable y hasta de carácter obligatorio para cualquier organización. A estas personas, altamente instruidos informáticamente, se les conoce – erróneamente –con un término bastante general: “Hackers”. Dentro de esta comunidad de hackers, existen diversos tipos como, por ejemplo, los crackers, lamers, phreakers, etc. Un hacker entra y husmea información a la que no está autorizada para lograr sus propósitos ya sean personales o no. No obstante, existen “hackers” que causan daños al momento de ingresar a un sistema y le ocasionan una gran variedad de problemas. Estos son reconocidos como “crackers” y son los verdaderos villanos en la comunidad hacker. A su vez, los “hackers éticos” no son personas maliciosas; al contrario, realizan lo mismo (burlar la seguridad) pero a beneficio de la empresa. Es decir, un hacker que entre al sistema de la empresa para luego brindar un informe sobre las debilidades que tiene esta y así poder corregir las vulnerabilidades y fortalecer la seguridad de la misma. Según Carlos Tori (2008, 11)1 , desde algunos años antes, especialistas ligados a la seguridad informática venían estudiando y practicando metodologías de intrusión en sus trabajos, laboratorios o casas. Así, comenzaron a brindar a las organizaciones un servicio a modo de proveedores externos o contratados y, para darle un nombre medianamente formal, lo llamaron ethical hacking .Este concepto incluye las denominaciones vulnerability scanning y penetrationtest, mejor denominado network security assessment (evaluación de la seguridad de redes). El hacking ético, desde el punto de vista de Whitaker y Newman (2006,5)2 : “es la práctica que una entidad confiable realiza para intentar comprometer la red de computadoras de una organización, con el propósito de evaluar su seguridad”. Mediante la simulación de un ataque en vivo, los administradores pueden ser testigos del daño potencial que un atacante puede provocar al ganar acceso, destruir datos o dañar los valores de la compañía. Cuando tocamos el tema de hacker, hablamos de un mundo extenso el cual sigue creciendo a diario. Los primeros hackers, nominados “hackers auténticos” se divertían con la información obtenida gracias al esfuerzo que realizaban para obtenerla. Hoy en cambio, los nuevos hackers (Crackers) se dedican a perjudicar información sin miedo a 1 Tori, Carlos. 2008. Hacking Ético, 1a edición. Rosario, Argentina: el autor. 2 Whitaker, Andrew y Daniel Newman. 2006. Prueba de penetración y defensa de la red. Estado Unidos: Cisco Press. Marco Arnao Vásquez 3
  4. 4. Lenguaje y Com unicación II EL ENSAYO. Proyecto de Investigac ión Form ativa nada. Dicho acto es razón para ir directo a prisión, sin embargo, estos crackers siguen realizando esta labor como si fuera un hobby. Existen varios casos de hackers que lograron ir a prisión por estos actos ilícitos como por ejemplo del famoso hacker Kevin Mitnick alias “el Cóndor”, quien empezó su carrera como hacker a los 10 años de edad. Hoy en día el Cóndor se dedica a hacer Hacking Ético; ayuda a organizaciones a mejorar sus sistemas de seguridad con el fin de contrarrestar la actividad de los crackers. Además de otros casos como el hackeo de las redes telefónicas de la radio KIIS-FM de los Ángeles en 1990 por Kevir Poulson; el atentado contra la red de Microsoft por Adrian Lamo. Yendo hacia los inicio del siglo XXI, encontramos a Michael Calce, quien a los 15 años de edad lanzó un ataque a eBay, Amazon y Yahoo en el 2000. A su vez, Sven Jaschan atacó con un virus que afectaba a los S.O. W 2000, W 2003 Server y W xp. Dejar en claro lo que es y no un Hacker es un poco complicado ya que en la actualidad se le ve como un villano. La verdad de los hacker es que son promovedores de la nueva era tecnológica e informática, ya que fueron ellos quienes crearon el único sistema operativo gratuito Linux, que hoy en día lo utilizan cientos de organizaciones para mejorarlo y rediseñarlo a su manera. Otro punto importante que podemos mencionar acerca de los hackers es que fueron participe de lo que es ahora Internet. No todo lo que se escucha en la televisión acerca de estos genios informáticos es verdadero. Como se ha podido entender, el problema abordado en esta investigación se centra básicamente en la seguridad de información como respuesta y solución ante el robo de la misma. Frente a tal situación, la seguridad de información puede apoyar a la empresa a optimizar aspectos como: productividad, capacidad de supervivencia, competitividad y buena respuesta ante diversos problemas. Además, se toman en cuenta aspectos que establecen regímenes y estándares de seguridad, los cuales deben comprometerse con la confidencialidad, responsabilidad, disponibilidad e integridad de la información. Estos serán tomados como requerimientos y requisitos para una buena gestión. La hipótesis planteada propone que es posible que mediante la aplicación de una política se logre establecer una cultura de seguridad en las empresas. Por su parte, las preguntas de investigación planteadas para desarrollar y fundamentar la hipótesis que asegura que es posible que, mediante la aplicación de una política, se logre establecer una cultura de seguridad en las empresas. . A su vez, se tiene el objeto de responder a cada una de las preguntas de investigación siguientes: ¿cómo influye la seguridad de información y como se debe actuar en la gestión de una empresa, organización o activos personales frente a robos informáticos? y ¿cómo y por qué actúa un ladrón informático? Así pues el propósito y objetivos de la investigación son mostrar lo necesario que es gestionar la seguridad de la información en una empresa y formar una cultura de ello en cada uno de los trabajadores argumentando la manera en que esta influye al momento de proteger los activos de la empresa y cómo lo hace desde un punto de vista teórico- tecnológico. Además, explicar y fundamentar cómo y porqué actúa un ladrón informático desde el punto de vista de la concepción de la cultura Hacker. Las técnicas de estudio utilizadas para seleccionar la información estuvieron basadas en la elección de libros de autores reconocidos que han persistido en los años en cada uno de los casilleros de la biblioteca de la USAT. Además, tuvo lugar la consulta en bases de datos electrónicas altamente confiables como Dialnet. Una vez recopilada la información, el proceso de esta estuvo basado en resúmenes, subrayado y parafraseado. Por último, para garantizar la información se utilizaron citas en estilo Chicago y referencias en nota de pie de página. Marco Arnao Vásquez 4
  5. 5. Lenguaje y Com unicación II EL ENSAYO. Proyecto de Investigac ión Form ativa En este sentido la estructura de la investigación ha sido dividida en dos secciones: influencia de la seguridad de información en la empresa y la razón de ser del ladrón informático. En la primera sección se desarrollarán los subtemas de: aspectos de la seguridad información, encriptación y políticas de seguridad. De esta manera se argumentará el porqué del carácter obligatorio para una buena gestión de la información de la empresa. Es decir, se fundamentarán los factores que se deben fortalecer y la manera cómo hacerlo. Adicionalmente, en la segunda sección se desarrollarán los subtemas de: ¿cómo identificar a un villano informático? ¿Por qué ataca un villano informático? ¿Cómo ataca un villano informático? Aquí se explicará el perfil de un hacker y villanos informáticos, sus técnicas y cómo llevan a cabo sus operaciones en red. En otras palabras, por medio de esta sección se comprueba y argumenta la necesidad de gestionar la información. II. ¿POR QUÉ FORMAR UNA CULTURA DE SEGURIDAD EN LAS EMPRESAS? II.1. Influencia de la seguridad de información en la empresa II.1.1. ¿De qué manera se involucra la seguridad de información en la empresa? Un estudio, donde se encuestaron a más de dos mil directores informáticos de empresas en 26 países diferentes, llevado a cabo por Symantec en el 2010, arrojó resultados algo alarmantes. Por una parte el 42 % de las empresas donde trabajan consideran la seguridad de información como un riesgo. Por la otra, un 75 % pudieron dar conciencia de haber sufrido ataques cibernéticos en las últimas semanas y, como consecuencia, generó grandes pérdidas de dinero. Los encuestados contestaron que la seguridad de información en la empresa donde trabajan no es atendida de la manera que se debe; es decir, no se cuenta con personal especializado en la seguridad de redes e información. En pocas palabras, la seguridad de información había sido olvidada entre largas listas de quehaceres empresariales que nunca revisan. La seguridad de información es definida, según Eric Maiwald (2003, 4)3 , como: “medidas adoptadas para evitar el uso no autorizado, el mal uso, la modificación o la denegación del uso de conocimiento, hechos, datos o capacidades”. Siguiendo este punto de vista, para Ramio (citado en Gil Fernández, 4)4 , seguridad de información es: “un conjunto de métodos y herramientas destinadas a proteger la información y por ende los sistemas informáticos ante cualquier amenaza, un proceso en el cual además participan las personas”. Sin embargo en un sistema de información la seguridad de la misma no puede estar garantizada. Es decir, se necesita de pasos preventivos tomados para proteger la información tanto como a sus capacidades sin comprometer la confidencialidad, integridad y disponibilidad de la información. En primer lugar, la confidencialidad mantendrá la información en secreto. Esta garantiza la legal entrada a los sistemas con los que trabaja la empresa. Además, permite que tengan pase libre a la información solo los usuarios autorizados. Al efectuar esa función, el servicio de confidencialidad protege contra el ataque de acceso (robo de información). Por ejemplo, el famoso caso de ataque de acceso a manos de Kevin Mitnick 3 Maiwald, Eric. 2005. Fundamentos de Seguridad de Redes. Mexico: The McGraw-Hill Companies Inc. 4 Gil Fernández, Raúl J. 2011. Sistematización de la gestión de riesgos de la seguridad de la información en la red de la Universidad Centrooccidental “Lisandro Alvarado”. Venezuela: Universidad Centrooccidental “Lisandro Alvarado”. Marco Arnao Vásquez 5
  6. 6. Lenguaje y Com unicación II EL ENSAYO. Proyecto de Investigac ión Form ativa “El Cóndor” a las oficinas de COSMOS (Computer System for Mainframe) de Pacific Bell en 1981. COSMOS era una base de datos utilizada por la mayoría de las empresas telefónicas en Norteamérica para llevar un control del registro de llamadas. Él, una vez dentro del sistema, clonó claves de seguridad, las combinaciones de las puertas de acceso a sucursales y manuales del sistema COSMOS. La información robada estuvo valorizada en 200 000 dólares. En segundo lugar, la integridad, mantiene la exactitud de la información. Según Borghello (2001, 8)5 , esto quiere decir que los usuarios tienen confianza en que la información que consultan, extraen o modifican es correcta y que no ha sido manipulada por un individuo no autorizado. La confidencialidad trabaja junto con el servicio de responsabilidad para identificar apropiadamente a los individuos. Además, según Jorge Mieres (2009,7)6 , la integridad protege contra los ataques de modificación; por ejemplo, el Bit- Flipping que significa interceptar un mensaje y realizar cambios en determinados bits del texto con la intención de alterar la información transmitida. Un caso de esto fue la interceptación al mensaje del presidente de Colombia, Juan Manuel Santos, en el mes de febrero del año pasado. Según el Diario El Nacional “al menos dos correos electrónicos enviados por el mandatario fueron interceptados ilegalmente”. Sin embargo, no pudieron dar con el responsable de ello y lo ocurrido quedó en la larga lista de atentados informáticos. Por último, la disponibilidad de la información, significa mantener la utilidad de la misma, lo que permitirá a los usuarios tener acceso a los sistemas. Según Mejía y otros (2012,85)7 , la disponibilidad permite que los sistemas de comunicación transmitan información entre ubicaciones o sistemas computacionales. Además se tiene en cuenta que la disponibilidad radica en lugar y tiempo; es decir, que se puede acceder a ella desde cualquier lugar conectado a internet y a cualquier hora del día. Sin embargo, la disponibilidad de los archivos físicos también puede ser protegida. Por ejemplo, tener un sistema conectado a internet en el cual los usuarios autorizados puedan ingresar a él y modificar, consultar o gestionar información que se necesite. Un caso de ataque de disponibilidad de la información lo sufrió Microsoft en los últimos días de abril del 2014. Un error en la programación dejó puerta abierta a los villanos informáticos y permitió que pudieran tomar control de las computadoras que funcionan con el sistema operativo XP. Siendo confirmado este ataque por Symantec, consistía en congelar la pantalla de quienes recorrían a Explorer para navegar a Internet o acceder a bases de datos mundiales. NetMarket Share, un sitio muy conocido por las estadísticas de tecnología en internet, estimó que más del 50% de naveradores emplean Explorer. Por otro lado, se calculó que alrededor de 30% de computadoras utilizan Windows XP lo que los convierte en potenciales víctimas. Como consecuencia y respuesta a estos atentados, cambiar de navegador y sistema operativo fue una de las principales opciones para disminuir el riesgo de momento. Maiwald (2005,85)8 considera un aspecto más de la seguridad de información, este es la responsabilidad. Aunque suele ser olvidado de alguna manera porque no protege al sistema contra los ataques por sí mismo, no deja de ser importante para este. Al contrario debe ser utilizado en conjunto junto con los demás aspectos, anteriormente descritos, para así hacerlos más eficientes. Una desventaja de la responsabilidad es que genera gastos. Sin embargo sin este servicio, tantos los mecanismos de integridad como de confidencialidad fallarían. 5 Borghello, Cristian. 2001. Seguridad informática: sus implicancias e implementación. Argentina: Universidad Nacional Tecnológica. 6 Mieres, Jorge. 2009. Ataques informáticos: debilidades de seguridad comúnmente explotadas. Estados Unidos: Evil Fingers. 7 Mejía, César, Ramirez Nini y Rivera, Juan. 2012. Vulverabilidad, tipos de ataques y formas de mitigarlos en las capas del modelo OSI en las redes de datos de las organizaciones . Colombia: Universidad de Tecnológica de Pereira. 8 Maiwald, Eric. 2005. Fundamentos de Seguridad de Redes. Mexico: The McGraw-Hill Companies Inc. Marco Arnao Vásquez 6
  7. 7. Lenguaje y Com unicación II EL ENSAYO. Proyecto de Investigac ión Form ativa En esencia, la seguridad de la Información permite desarrollar tácticas y protección frente a ataques de adversarios. A su vez, cada uno de los aspectos debe ser debidamente analizado y estructurado para su éxito seguro. Sin embargo, algunas organizaciones descuidan su sistema dejando desprotegida información valiosa y costosa para ellos. Ignorando esto, su seguridad es burlada, y su información abusada y usada hasta de manera malintencionada. Tomar en cuenta la Seguridad de información no es opcional sino de carácter obligatorio. II.1.2. Una política de seguridad como primer requisito Las políticas de seguridad son necesarias por ser lineamientos que los funcionarios de la organización deben de seguir para así poder garantizar la confiabilidad de los sistemas y la protección de la información. La política de seguridad permitirá a la institución actuar proactivamente ante cualquier situación que coloque en riesgo la información. Así mismo, las políticas de seguridad actúan en conjunto con sus actores para asegurar la integridad de la información controlando los recursos y mecanismos de seguridad impuestas por la organización. Según San Martín (2004)9 las políticas de seguridad forman parte de la estructura de seguridad que tiene una empresa, pues es obligatorio gestionar la protección de sus aplicaciones, hardware, entre otros, que son de alto valor para la organización. Una posible política de seguridad podría ser el caso de los controles de acceso. Tomando en cuenta el control de claves y nombre de usuarios que cada uno de los usuarios de un sistema elija. Además de esto, el uso de credenciales o firmas digitales podrían servir para identificar a la persona cuando la vemos. Todos estos datos deben estar almacenados en una base de datos externa a la intranet del lugar (una escuela, universidad o establecimiento público o privado). La creación de políticas de seguridad viene siendo una labor primordial que involucra a las personas, los procesos y los recursos de la organización. Según Maiwald (2005, 116)10 : “la política proporciona las reglas que gobiernan como deberían ser configurados los sistemas y cómo deberían actuar los empleados de una organización en circunstancias normales y cómo deberían reaccionar si se presentan circunstancias inusuales”. Es decir, compromete a todos los integrantes de una empresa y los motiva a creer esa cultura de seguridad que tanto se necesita. Además, la seguridad será para ellos y no para otras personas, la seguridad es para su empresa y garantizar el crecimiento de la misma, mas no de otras. 9 San Martín García, José. 2004. La seguridad de la Información. Norma UNE de Seguridad de la Información. Anales de mecánica y electricidad 81 (5) 10 Maiwald, Eric. 2005. Fundamentos de Seguridad de Redes. Mexico: The McGraw-Hill Companies Inc. Marco Arnao Vásquez 7 Aspectos de la Seguridad de Información Integridad Disponibilidad Confidencialidad Responsabilidad Mantener la exactidud de la información Mantener la utilidad de la información Mantener la información en secreto Mantener seguras las anteriores Figura 1. Aspectos de la Seguridad de Información
  8. 8. Lenguaje y Com unicación II EL ENSAYO. Proyecto de Investigac ión Form ativa Si una empresa establece una política de seguridad, esta debe ser para todos. Según Dussan (2006, 88)11 : “las políticas son requisitos generalizados que deben ser escritos en papel y comunicados a ciertos grupos de personas dentro y en algunos casos fuera de la organización”. Como ejemplo de esto existen muchas universidades en el exterior de país como la Universidad Distrital Francisco José de Caldas en Colombia, la cuál es su sitio web ha publicado una política de seguridad tanto para su software como hardware. Según Carozo (2007) 12 Entre estas normas establecidas están las copias de seguridad, la administración de configuraciones de red, internet y correo electrónico, protección contra software malicioso, entre otras. Las políticas deben ser claras y precisas a la hora de ser implantadas en una organización. Por tanto, para que sea efectiva estas políticas, deben contar con elementos indispensables que apoyen este procedimiento como lo es la cultura organizacional, las herramientas y el monitoreo continuo de la información. Según Gil Fernández (2011, 32)13 políticas de seguridad proporcionan dirección, gerencia y apoyo a la seguridad de la información en concordancia con los requerimientos comerciales y leyes y regulaciones relevantes. Es necesario tener en cuenta algunos pasos para la elaboración de una política de seguridad como lo son: seleccionar al responsable de definir la política, elaborar el documento donde se especifique los reglamentos que tendrá la misma y por último hacer pública esta nueva política definida por la organización. II.1.3. La alternativa de la encriptación La encriptación es también una manera de proteger tu información en el momento de acceso. La encriptación informática puede ser definida como la codificación de información que será transmitida por una red. En caso que sea interceptada por alguien no podrá ser descifrado. Según Granados (2006,6)14 el término encriptación está estrechamente relacionado a la criptografía. Este último es un término que viene de dos vocablos griegos: “kriptos” que significa “oculto” y “grafo” que significa “escrito” o “escritura”. La criptografía es el “arte de cifrar y descifrar información”. Por su parte, la encriptación solo consiste en volver indescifrable y codificar la información para que no pueda ser leída por terceros. Por ejemplo, una manera de encriptación son las contraseñas de nuestro correo electrónico, redes sociales, cuentas bancarias, entre otras. El caso más antiguo de encriptación se remonta a 100 años a.C. cuando Julio César, emperador romano, creó lo que hoy conocemos como Código César. Este código 11 Dussan, Ciro. 2006. Políticas de seguridad informática. Revista Entramado 2 (1). 12 Carozo, Eduardo. 2007. Implantación del Sistema de Gestión de Seguridad de la Información en una empresa compleja. Montevideo: Revista Memorias. 5 (5). 13 Gil F., Raúl. 2011. Sistematización de la gestión de riesgos de la seguridad de la información en la red. Venezuela: Universidad Centroocidental “Lisandro Alvarado”. 14 Granados, Gibrán. 2006. Introducción a la criptografía. Revista Digital Universitaria. 7 (7). Marco Arnao Vásquez 8 Figura 2. Políticas de seguridad Políticas de Seguridad Normas Alineamientos Cultura Organizacional Garantizan Cumplimiento de las prácticas establecidas
  9. 9. Lenguaje y Com unicación II EL ENSAYO. Proyecto de Investigac ión Form ativa consistía en la transposición de las letras del alfabeto un número determinado de espacios. Es decir, si desplazabas tres espacios se comenzaba con la letra D y al terminar las letras sobrantes (X, Y y Z) ocupaban los lugares iniciales de A, B y C. Para cifrar un mensaje solo debemos ubicar cada letra traspuesta y colocar la verdadera letra. Como podemos ver, fue un gran comienzo en ideas de codificación. Según Hughes (2004,96)15 : “encriptar es manifestar el deseo de privacidad, y encriptar con criptografía débil es manifestar poco deseo de privacidad”. La encriptación involucra también a los aspectos de confidencialidad, integridad y responsabilidad. Por un lado, en la confidencialidad la encriptación puede ser empleada para ocultar la información, almacenada o en tránsito, a individuos no autorizados. Por otro lado, la encriptación en la integridad puede ser utilizada para identificar modificaciones en la información. Finalmente, en la responsabilidad la encriptación puede ser empleada para autentificar el origen de la información y evitar que la fuente desmienta que esta provino de ella. Por ejemplo, en un sistema de una organización pública donde diariamente poco más de 100 mil personas entren a revisar sus cuentas bancarias, la confidencialidad estará presente porque se sabe que lo consultado es correcto y la integridad será garantizada al tener la seguridad que la información es exactamente la misma enviada por el servidor principal. El tipo de encriptación más común en una empresa es la encriptación de clave privada o clave simétrica. Esta encriptación necesitará que todos los individuos autorizados para acceder a la información, tengan la misma clave. Eso reduce todo el problema de proteger la información a uno solo: proteger la clave. Su mayor ventaja es que es rápida y puede ser fácil de implementar tanto en un hardware como en un software. Esto proporciona la confidencialidad de la información y cierta garantía de que la información no pueda ser modificada mientras se encuentra en tránsito. Sin embardo, Según Borghello (2001,35)16 una de las desventajas es que, al estar encriptada la contraseña, “cuando el usuario se ve en la necesidad de utilizar varias claves para acceder a diversos sistemas, encuentra dificultoso recordarlas”. Un caso de la encriptación de clave privada podemos ver al buscar conectividad Wi-Fi para nuestros dispositivos y poder tener acceso a internet. Es decir, todos los router dispensadores de red de internet poseen una única clave con la que se accede al internet. En este caso, el internet es como el sistema al que se desea ingresar. Entonces, solo podrán acceder a la red internet siempre y cuando se tenga la clave del router. Es decir, todos los usuarios autorizados a entrar a esta red tendrán la misma clave. Sin embargo, si el usuario se ve en la obligación de conectarse a varias redes Wi-Fi por inestabilidad en las mismas, se le hará difícil recordarlas todas. El tipo de encriptación menos común en una empresa, pero que debería ser más empleada, es la encriptación de clave pública o clave asimétrica. Esta encriptación, según Maiwald (2005, 249)17 , consiste en dos claves diferentes (par clave), una privada (que pertenece al propietario legítimo del par clave) y una pública (que puede ser divulgada para ver información compartida por el propietario). En este caso, tanto emisor como receptor de la información deben tener una clave, las cuales deberán estar relacionadas entre sí pero no hay forma de obtener la privada a partir de la pública. La relación radica en que la información encriptada y enviada por K1 únicamente pueda ser descifrada por su respectivo par K2. Así también, si K2 encripta y envía la información, esta solo puede ser descifrada por K1. 15 Hughes, Eric. 2004. “Encriptación“, en Internet, Hackers y Sofware Libre. Argentina: Editora Fantasma. 93 – 99. 16 Borghello, Cristian. 2001. Seguridad informática: sus implicancias e implementación. Argentina: Universidad Nacional Tecnológica. 17 Maiwald, Eric. 2005. Fundamentos de Seguridad de Redes. Mexico: The McGraw-Hill Companies Inc. Marco Arnao Vásquez 9
  10. 10. Lenguaje y Com unicación II EL ENSAYO. Proyecto de Investigac ión Form ativa Al decir que debería ser más empleada en la práctica de seguridad, el punto de vista se refiere a la mayor privacidad que tendría un mensaje al ser enviado. Es decir, el mensaje o información publicada no sería visto por todos, sino por el destinatario exacto. A su vez, según Symantec, esto disminuiría el número de interceptaciones o robos en un 20% aproximadamente. Entonces, se tiene el atrevimiento de decir que es la encriptación pública la que se necesita en mayor cantidad. Sin quitar importancia al primer tipo de encriptación, el segundo se lleva el premio mayor tomando la idea de Hughes (2004) al procurar un mayor nivel de privacidad y protección. II.1.4. ¿Cómo implementar una seguridad basada en software? Se debe ser consciente que un solo tipo de seguridad para proteger la información de una organización, no es suficiente. Mucho menos, un solo producto comercial protegerá completamente a tu sistema. Es por eso que la seguridad lógica se encarga se varios instrumentos que mantienen firme la seguridad del sistema. Entre estos aspectos encontramos a los controles de acceso, los muros de fuego (firewalls), software antivirus y un sistema de detección de intrusiones. La seguridad lógica, consiste básicamente en la aplicación de barreras y procesos que defiendan el acceso a los activos informáticos. Este solo permitirá acceder a aquellas personas autorizadas. Debe asegurar un viejo dicho en la seguridad informática, el cual propone que “todo lo que no está permitido debe estar prohibido”. Según Borghello (2001)18 entre los objetivos de la seguridad lógica podemos recalcar que la información transmitida sea recibida sólo por el destinatario indicado, siendo esta la misma desde su origen hasta su llegada. Además de disponer de pasos alternativos de emergencia en caso de un atentado furtivo o sorpresivo. Según Maiwald (2005,12)19 : “todos y cada uno de los sistemas de computación dentro de una organización deberían tener la capacidad de restringir el acceso a los archivos dependiendo de la identificación (ID) del usuario que intenta obtener acceso”. Es decir, un control de acceso. Un control de acceso se implementa en el Sistema Operativo, en las bases de datos, sobre los sistemas de aplicación, hasta las aplicaciones de escritorio. Este tipo de seguridad lógica garantizará al sistema que quien está ingresando a la información protegida está totalmente autorizado por la organización. Los controles de acceso pueden ser desde lo más simple, como son los ID (identificadores) y las contraseñas; hasta lo más complejo, como huellas dactilares, escáneres oculares y comandos o reconocimiento de voz. 18 Borghello, Cristian. 2001. Seguridad informática: sus implicancias e implementación. Argentina: Universidad Nacional Tecnológica. 19 Maiwald, Eric. 2005. Fundamentos de Seguridad de Redes. Mexico: The McGraw-Hill Companies Inc. Marco Arnao Vásquez 10 Figura 3. Encriptación Encriptación Criptografía Cifrado de Mensajes Clave Privada Clave Pública Codificación Contraseña colectiva Contraseña individual K1 > K2
  11. 11. Lenguaje y Com unicación II EL ENSAYO. Proyecto de Investigac ión Form ativa Un firewall, muros de fuego o puertas de seguridad, son herramientas que permiten el bloqueo entre dos redes, una privada o interna y otra externa (por ejemplo, Internet) cuando se detecta algo malicioso. Según Mejía y otros (2012, 148)20 los firewall trabajan “restringiendo de forma eficiente esos paquetes que viajan a través de la red y que son de carácter dudoso o malicioso. Además, “dentro de las organizaciones este es un medio de defensa sobre sus activos y su prevención se sostiene entre la capa de red y la capa de transporte”. Si son configurados correctamente, los firewalls se convierten en herramientas de seguridad indispensables. Finalmente, un software antivirus y un sistema detección de intrusiones conformarán una parte necesaria como programa de seguridad. Por un lado, si un software antivirus está correctamente implementado y configurado, puede disminuir las probabilidades que tenga una organización al estar expuesta a otro software malintencionado. Por otro lado, el sistema de detección de intrusiones (IDS) complementará de alguna manera al software antivirus. Los IDS suelen conformarse mediante un sistema de gestión centralizado y agentes o monitores remotos que se encargan de analizar el tráfico en los puntos remotos de la red en los que están ubicados. Siguiendo esta definición, se expanden dos tipos de IDS: basado en el anfitrión (HIDS) y basado en la red (NIDS). Un HIDS reside en un anfitrión particular y busca indicaciones de ataque en él. Un NIDS reside en un sistema separado que vigila el tráfico de la red, buscando indicaciones de ataques que atraviesen esa parte de esta. Sin embargo ningún sistema de este tipo es a prueba de fallas, y ninguno puede reemplazar a unas buenas prácticas de seguridad. II.2. La razón del villano informático II.2.1. ¿Por qué ataca un villano informático? A través del tiempo se ha adoptado la idea que un hacker es un villano informático que se infiltra en sistemas privados que almacenan información. Una vez dentro, estos piratas roban, modifican o destruyen información valiosa para la organización. Así pues, esa definición es en realidad, errónea. A su vez, la idea equivocada pertenece a un “cracker”. En realidad un hacker es una persona ambiciosa de la informática que posee el 20 Mejía, César, Ramirez Nini y Rivera, Juan. 2012. Vulverabilidad, tipos de ataques y formas de mitigarlos en las capas del modelo OSI en las redes de datos de las organizaciones. Colombia: Universidad de Tecnológica de Pereira. Marco Arnao Vásquez 11 Figura 4. Seguridad Lógica Controles de acceso Muros de Fuego (Firewalls) Software Antivirus Sistema de detección de intrusiones Seguridad Lógica Seguridad basada en software
  12. 12. Lenguaje y Com unicación II EL ENSAYO. Proyecto de Investigac ión Form ativa afán de aprender acerca de los sistemas de información y de cómo innovar en su uso. Entre las definiciones propuestas por Raymond (citado por Roig, 2006, p. 161)21 encontramos que un hacker es un “persona que disfruta con la exploración de los detalles de los sistemas programables y cómo aprovechar sus posibilidades; al contrario que la mayoría de los usuarios, que prefieren aprender sólo lo imprescindible”. Es por eso que burlan la seguridad –mayormente por internet- en busca de aquella información que los dirija hacia más conocimiento. Una vez ingresado, dejan su huella, como un “yo estuve aquí”. Además suelen escribir alguna versión de la ética del hacker, moral que les lleva a no hacer daño, mostrándose opuestos hacia el vandalismo realizado por los crackers. Un hacker nunca estropeará información valiosa, de lo cual es consciente. Aun existiendo la posibilidad que el hacker haya jugado con algún tipo de crackeo, su ética impide atentar contra los derechos de los demás. Ellos son, según la investigación de Giménez Solano (2011,14)22 : “personas que disfrutan investigando detalles de los sistemas y cómo aprovechar para sacarles jugo; no como la mayoría de los usuarios, que sólo aprenden lo imprescindible”. Le atrae el reto intelectual de superar las limitaciones de forma creativa. Además de ser sociales, reconocen el mérito propio y ajeno. Es necesario entender la mente de un hacker, así podríamos si nuestro sistema o hasta nosotros mismos estamos en peligro de ser atacados. Esto nos da la capacidad de identificar qué propósito tiene tras un intento de intrusión. Según Maiwald (2005,36)23 : “la motivación es el componente clave para comprender a los hackers”. A un hacker le gusta estar rodeado de retos, así, la motivación original para ingresar a un sistema de manera ilegal es el reto que suponía hacerlo. Una vez realizado el reto, estos publican sus “logros” en los canales de IRC (Internet Relay Chat) en donde ganan prestigio frente a los demás por burlar la seguridad de un complejo sistema o páginas de internet que llegan a modificar. También el hecho de ser el primero en invadir un sistema o la mayor cantidad de ellos. Incluso algunos hackers, una vez invadido el sistema, eliminan la vulnerabilidad del mismo, así nadie podrá hacerlo otra vez. A su vez, los hackers también son codiciosos. Esto incluye algún deseo de ganar, ya sea dinero, bienes, servicios o información valiosa. Eso constituye una motivación razonable para el hacker, ya que es dificultoso identificar, arrestar y condenar a un hacker. En el caso que la organización atacada identifique la intrusión, corregirá la vulnerabilidad y seguirá trabajando normalmente. Pero alguna organización puede comunicar a la ley del incidente y comienza todo un proceso de búsqueda e identificación del hacker. Sin embargo la culpabilidad de este es difícil de comprobar. Aún el caso termine con éxito, la condena puede no ser significativa. Como caso de esto tenemos a Datastream, un hacker internacional. Datastream Cowboy, en 1994, junto a Kuji, burlaron la seguridad del Centro de Desarrollo Aéreo Roma en la Base Griffis de la Fuerza Aérea en Roma, Nueva York y hurtó software valorizado en 200 mil dólares. Luego Datastream fue identificado como un individuo de 16 años del Reino Unido. Fue arrestado y condenado en 1997. Su castigo fue pagar una multa de 1915 dólares. Entonces, se concluye en que el riesgo que representa para un hacker el ser atrapado y condenado es ínfimo. Un hacker motivado por la codicia buscará tipos específicos de información que puedan ser vendidos o empleados para obtener alguna ganancia monetaria. Es más probable que un hacker motivado por la codicia tenga objetivos específicos en mente. Siendo así, los sitios que tienen algo de valor sus objetivos principales. Por otra parte, 21 Roig, Gustavo. 2006. “Los discursos del Hacking”, en Ciberactivismo: sobre los usos políticos y sociales de la red, 157 - 178. Barcelona: virus Editorial. 22 Giménez, Vicente. 2011. Hacking y Ciberdelito. España: Universidad Tecnológica de Valencia. 23 Maiwald, Eric. 2005. Fundamentos de Seguridad de Redes. Mexico: The McGraw-Hill Companies Inc. Marco Arnao Vásquez 12
  13. 13. Lenguaje y Com unicación II EL ENSAYO. Proyecto de Investigac ión Form ativa existen hackers con un propósito malintencionado el cual termina en vandalismo o cometer actos malintencionados. En este aspecto al hacker, que ahora tomaría el nombre de cracker, no le interesa controlar un sistema o ingresar a él por popularidad y respecto. Por el contrario, busca causar daño a los usuarios y la información que se almacena en el sistema denegando accesos o publicando cosas inadecuadas. Una causa del hacker malintencionado puede que se haya sentido agraviado por la víctima. Según Steve Mizrach (2004, p.127)24 : “La mayoría de los hackers nuevos no saben programar; sólo son personas sin ética que no tienen problemas en robar passwords, códigos, software u otra información e intercambiarla con sus amigos”. En conclusión, fuese cual fuese la causa, no se trata de acceder sino de hacer mal. Los hackers están obsesionados con aprender más y más acerca de los sistemas de información más seguros del mundo. Joseph Weizenbaum (1976)25 describió el fenómeno de la “programación compulsiva”: “En cualquier lugar donde se hayan establecido centros de cómputos, es decir, en innumerables lugares de Estados Unidos, y virtualmente en todas las demás regiones industriales del mundo, jóvenes brillantes de aspecto descuidado, con ojos muchas veces hundidos y rojos, se pueden encontrar sentados en consolas de computadoras, sus brazos extendidos listos para ejecutar, sus dedos ya dispuestos para apretar los botones y teclas en los que su atención parece estar tan absorbida como la del jugador en la tirada de dados. Cuando no se transfiguran tanto, suelen sentarse en mesas cubiertas de impresos de computadoras sobre los que se tienden como poseídos estudiantes de un texto cabalístico. Trabajan hasta que se caen, veinte, treinta horas cada vez. Su comida, si la organizan, se la traen: cafés, Cocas, sandwichs. Si se puede duermen en colchones cerca de la computadora. Pero sólo unas pocas horas; luego, de vuelta a la consola o a los impresos. Su ropa arrugada, sus caras sin afeitar ni lavar, y sus pelos revueltos, todo muestra que se hallan evadidos de sus cuerpos y del mundo en el que se mueven. Existen, al menos cuando lo consiguen, sólo a través de y para las computadoras. Son vagabundos informáticos, programadores compulsivos. Son un fenómeno internacional”. II.2.2. ¿Cómo ataca un villano informático? Es necesario saber de qué manera y cómo ataca un villano informático al ingresar a nuestro sistema para husmear o robar información, así podremos fortalecer vulnerabilidades que podrían significar la garantía de vida para nuestra base de datos. De esta manera se define cuatro tipos distintos de ataques posibles, según Maiwald (2005, 24 Mizrach, Steve. 2004. “Viejos hackers, nuevos hackers: ¿son distintos? “, en Internet, Hackers y Sofware Libre. Argentina: Editora Fantasma. 127 – 132. 25 Weizenbaum, Joseph. 1976. Potencia del ordenador y de la razón humana: Del juicio al cálculo. San Francisco: W.H. Freeman. Marco Arnao Vásquez 13 Figura 5. Perfil del villano informático Perfil del Villano Informático Hacker Motivación Retos Reconocimiento Prestigio Aprender de los sistemas Cracker Vandalismo informático Robar Dañar sistemas
  14. 14. Lenguaje y Com unicación II EL ENSAYO. Proyecto de Investigac ión Form ativa 19 – 33)26 , que son: ataques de acceso, modificación, denegación de servicio y refutación. El ataque de acceso, según te permite obtener información que el propio atacante no está autorizado a ver. Además un ataque de este tipo puede ocurrir independientemente de la ubicación del almacenamiento de la información, incluso durante la transmisión de datos. Este tipo de ataque apunta directo a la confidencialidad de la información y consta de tres momentos: el fisgoneo, la escucha furtiva y la intercepción. En primer lugar, el fisgoneo consiste en hacer búsqueda entre los activos de información con la intención de hallar algo de interés. Por ejemplo si estos activos se encuentran en físico, al atacante le basta ingresar a la sección de archiveros y buscar entre ellos. Sin embargo, si la información se encuentra en un sistema de cómputo el atacante deberá penetrar la seguridad de este hasta encontrar la información requerida. Para Mejía y otros (2012, 153)27 en estos casos para mitigar el fisgoneo se requiere de la encriptación. En segundo lugar la escucha furtiva se lleva a cabo, electrónicamente, en base a la introducción a las redes inalámbricas. Esto incrementa la oportunidad de escuchar información confidencial. El atacante puede estar en cualquier lugar, cercano o no, a la víctima y así obtener acceso a la información por medio de la infiltración a la misma red de área local. En tercer lugar la intercepción hace referencia a un ataque activo contra la información. Según Moya (2011)28 , cuando un atacante intersecta información, se coloca en la misma ruta que lleva hacia la información y la alcanza antes de que alcance su destino, capturándola por un momento. Luego el atacante definirá si la información continúa hasta su destino o no. Caso de esto tenemos al golpe al First National Bank en 1988 por Arman Devon Moore. Si bien es cierto, Devon convención a O. Wilson y G. Taylor, trabajadores de la empresa, para que le apoyen en el robo informático. Dicho y hecho, Devon aprovechándose del acceso que tenían sus cómplices accedió al sistema fácilmente. Una vez dentro seleccionó tres de los más grandes clientes corporativos de dicho banco de Chicago: el banco Merrill Lynch & Co, United Airlines y Brown-Forman Corp. Luego de sesenta minutos de trabajo malicioso, Devon tenía en su cuenta más de 70 millones de dólares. Los ataques de modificación son un intento de cambiar la información que un atacante no está autorizado a cambiar. Este ataque ocurre en cualquier ubicación de la información. Según Martinez (2006)29 , puede llevarse a cabo durante la transmisión de información de un servidor a otro. Este tipo de ataques va en contra de la integridad de la información y pueden estar dirigidos a información confidencial o información pública. Consta de tres momentos: cambios, inserción y eliminación. En primera instancia un cambio es fundamentalmente la modificación de la información existente encontrada una vez ingresado al sistema. Por ejemplo, en una empresa un atacante que modifique el salario de un empleado, ahora la organización operara con datos incorrectos. En segunda instancia, la inserción consiste en agregar información que no existía antes del ataque, antes en la organización. Este ataque puede ser efectuado sobre información histórica o información en la que se harán modificaciones futuras. Por ejemplo, un atacante puede hacer la inserción de una transacción inexistente en un sistema bancario, que tenga como función trasladar dinero de la cuenta de otra persona a la suya. Por último en la eliminación, como su propio nombre lo dice, se refiere a la remoción de la información existente. Al igual que la 26 Maiwald, Eric. 2005. Fundamentos de Seguridad de Redes. Mexico: The McGraw-Hill Companies Inc. 27 Mejía, César, Ramirez Nini y Rivera, Juan. 2012. Vulverabilidad, tipos de ataques y formas de mitigarlos en las capas del modelo OSI en las redes de datos de las organizaciones . Colombia: Universidad de Tecnológica de Pereira. 28 Moya, Eugenio. 2011. La ética Hacker y el espíritu del informacionalismo. Revista Internacional de Filosofía (4). 323-332. 29 Martínez, Benjamín. 2006. La Filosofía Hacking y Cracking. México: Universidad Autónoma del Estado de Hidalgo. Marco Arnao Vásquez 14
  15. 15. Lenguaje y Com unicación II EL ENSAYO. Proyecto de Investigac ión Form ativa inserción, la eliminación puede actuar sobre un registro histórico o sobre otro al que se le aplicarán modificaciones futuras. Por ejemplo, un atacante que ingresa al sistema de un banco puede borrar una deuda. Caso de esto tenemos al ataque sufrido por la red del Ejército de EE.UU. por piratas informáticos en enero del 2015. El ataque consistió en que ingresaron a las cuentas de Twitter del Comando Central estadounidense y cambiaron publicaciones y las imágenes de perfil de algunas de ellas. Por ejemplo, los hackers habían conseguido cambiar las imágenes oficiales de @centcom y modificaron la identificación por una imagen en la que aparecía una persona con el rostro cubierto y la bandera del Estado Islámico. Además de esto modificaron publicaciones realizadas por distintas cuentas del ejército estadounidense, lo que trajo consigo un caos en las redes sociales y una vergüenza para Norteamérica. Los ataques de denegación de servicio (DoS, Denial – Of – Service) consiste en negar el uso de los recursos a los usuarios propietarios del sistema y la información. Los ataques DoS hacen imposible que el atacante tenga acceso y modifique la información existente. Este tipo de ataque es considerado vandalismo. Existen cuatro tipos de denegaciones: a la información, aplicaciones, sistema y comunicación. En primer lugar un ataque contra el acceso a la información provoca que esta no esté disponible para el usuario. Esto es debido a la destrucción de la información o el cambio de esta hasta dejarla inutilizable. También esta denegación puede presentarse de manera que la información aún existe, pero ha sido removida a un lugar inaccesible. Luego la denegación de acceso a las aplicaciones se dirige, explícitamente, a la aplicación que opera o exhibe la información. Es decir, si la aplicación no está disponible, la organización no puede realizar sus actividades con normalidad. Por su parte, la denegación de acceso a sistemas está orientada a derribar, especialmente, sistemas de cómputo. En este tipo de ataque el sistema se cierra a cualquier interacción con el usuario: las aplicaciones y la información dejan de estar disponibles. Por último, la denegación de acceso a comunicaciones puede abarcar desde cortar un alambre, para interrumpir las comunicaciones de radio, hasta inundar las redes con tráfico informático excesivo. Aquí el objetivo para el atacante es el medio de comunicación por sí mismo. Así, los sistemas y la información permanecen ilesos pero la carencia de comunicación hace imposible la interacción de estos. Caso se esto tenemos a el atentado a Invertia en el año 2000. Hacia marzo de este año un fallo de seguridad en el portal financiero de Terra, Invertia, dejó sin control todas las vulnerabilidades de su sistema. Al detectar esto los hackers, todos los datos de sus usuarios de su base de datos quedaron expuestos por unas horas mostrando nombre, apellido, login y password además de todos los movimientos realizados por cada uno de ellos. Por su parte, la Agencia Española de Protección de Datos impuso una sanción de 120 00 euros por concluir en que Invertia no había adoptado las medidas de seguridad adecuadas para proteger los datos personales de sus clientes. Los ataques de refutación son un intento de brindar al usuario información falsa y negar que un evento real haya ocurrido. Se conforma por la simulación y denegación de un evento. Por un lado la simulación consiste en comportarse como alguien más u otro sistema. Este ataque puede ser llevado a cabo en la comunicación personal, en transacciones, o en comunicaciones entre sistemas. Por otro lado la denegación de un evento consiste simplemente en negar que la acción haya sido realizada tal y como se registró. Por ejemplo un sujeto realiza múltiples compras en un supermercado haciendo uso de su tarjeta de crédito; cuando a este llega la cuenta resuelve responder que nunca hizo esas compras. Según un reciente estudio publicado por AvanteGarde2 (citado por Marco Arnao Vásquez 15
  16. 16. Lenguaje y Com unicación II EL ENSAYO. Proyecto de Investigac ión Form ativa Tarazona, 2007)30 , que realizó una prueba que consistía en dejar unos sistemas conectados a Internet con las protecciones básicas configuradas de fábrica, el tiempo promedio en el que un equipo resultó “exitosamente” atacado fue de solo 4 minutos. La empresa Sony sufrió un ataque a mediados del 2011. Este ataque significó su peor momento en 32 años de actividad exitosa como empresa tecnológica dentro de los campos donde se desempeña: fotografía, equipos de sonido, televisión, smartphones, etc. En 2011 se reportó que villanos informáticos violaron la seguridad y vulneraron información de 77 millones de usuarios de la consola PSP 3. Así pues, quedaron expuestas información como números de tarjetas de crédito, direcciones de hogar, nombres de usuario y reales, etc. Como consecuencia, Sony cerró el servicio de PlayStation Network por 25 días mientras se restauraba la seguridad. Las secuelas de esto fue el desprestigio de la empresa en más de tres décadas y la obligó a recompensar a los usuarios de diversas maneras. Desde el punto de vista de Mieres (2009, 5-6)31 un ataque informático posee una anatomía conformada por cinco fases: reconocimiento, exploración, obtener acceso, mantener acceso y borrar huellas. El reconocimiento básicamente consiste en identificar a la víctima –persona u organización– donde se llevará a cabo el robo de información. Se utilizan recursos básicos de internet, como Google, para conseguir datos previos. Luego, en la exploración se utiliza la información obtenida en la primera fase para extraer información sobre el sistema, como dirección IP, nombres de host, entre otros. Una vez recolectada toda esta información se trata de obtener acceso; es decir, se comienza a materializar el ataque a través de la explotación de las vulnerabilidades y defectos en la seguridad del sistema. Ahora se busca la manera de mantener el acceso al sistema; o sea, implantar herramientas que permitan volver a acceder desde cualquier lugar con internet. Por último, una vez que se ha obtenido la información deseada, el atacante debe borrar las huellas de su intrusión. Para esto, buscará eliminar los archivos de registro y las IDS (Sistema de Detección de Intrusos). 30 Tarazona, César. 2007. Amenazas informáticas y seguridad de la información. Revista del instituto de Ciencias Penales y Criminológicas 28 (84). 31 Mieres, Jorge. 2009. Ataques informáticos: debilidades de seguridad comúnmente explotadas. Estados Unidos: Evil Fingers. Marco Arnao Vásquez 16 Acceso Modificación Denegación de servicio Refutación Fisgoneo Escucha furtiva Intercepción Cambios Inserción Eliminación Información Aplicaciones Sistema Comunicación Simulación Denegación de un evento Figura 6. Ataques informáticos Ataques Informáticos
  17. 17. Lenguaje y Com unicación II EL ENSAYO. Proyecto de Investigac ión Form ativa III. CONCLUSIONES En esta sección, además de sintetizar lo argumentado inicialmente, daré respuesta a cada una de las interrogantes planteadas en el primer paso de la elaboración del ensayo, el plan de investigación. En primer lugar y como respuesta a la primera pregunta de investigación podemos afirmar que la seguridad de información, como contraataque a los villanos informáticos, desarrolla diversos aspectos. Estos son los controles de acceso, los muros de fuego (firewalls), software antivirus y un sistema de detección de intrusiones. De esa manera se garantiza la confidencialidad, integridad y disponibilidad de la información. Así pues, la información se mantiene lejos de malos usos. Además de ello se acopla la “criptografía” y se adopta el término de “encriptación”. Esto significa cifrar información que será transmitida para garantizar su integridad desde el lugar de origen hasta su destino. Además, el uso de herramientas secretas, como claves y códigos, serán importantes en una buena práctica de seguridad. Todo esto debe estar modulado por los estándares propuestos por una política de seguridad de información, la cual deberá seguirse para garantizar una buena gestión. En pocas palabras, la seguridad de información, además de ser un campo laboral que la empresa debe implementar, se impone con un carácter obligatorio respecto a su desarrollo, ya que todos nosotros, personas o empresas, estamos propensos a sufrir un robo de nuestros datos. En segundo lugar y como respuesta a la segunda pregunta de investigación concluyo que para un hacker o cracker es muy fácil ingresar a un sistema que tenga errores de seguridad y vulnerabilidades que ellos puedan burlar sin problemas–sin tener en cuenta las grandes bases de datos internacionales con una seguridad excepcional-. Casos de ataque como sufridos por empresas y personas como Pacific Bell, Microsoft, el ejército de EE.UU. y el presidente de Colombia Juan Manuel Santos, entre otros; demandan el implemento de medidas de seguridad drásticas que pueden ir desde contraseñas hasta toda una red de software de detección de intrusiones. En conclusión, la seguridad de la información no es solo un espacio más que una empresa o persona llena en una encuesta, es mucho más serio que eso y debemos implementar una cultura de seguridad para evitar seguir siendo sorprendidos y violentados nuestros derechos de privacidad y el respeto. Marco Arnao Vásquez 17
  18. 18. Lenguaje y Com unicación II EL ENSAYO. Proyecto de Investigac ión Form ativa REFERENCIAS BIBLIOGRÁFICAS Andrew Whitaker y Daniel Newman, Prueba de penetración y defensa de la red (Estados Unidos: Cisco Press, 2005) Bejamín Martínez, La Filosofía Hacking & Cracking (México: Universidad Autónoma del Estado de Hidalgo, 2006): < http://repository.uaeh.edu.mx/bitstream/bitstream/handle/123456789/10812/La %20filosofia%20hacking%20%26%20cracking.pdf?sequence=1 > Carlos Tori, Hacking Ético. (Rosario, Argentina: el autor, 2008) César H. Tarazona T., Amenazas informáticas y seguridad de la información. Revista del instituto de Ciencias Penales y Criminológicas 28 (84): 137 – 146: < http://dialnet.unirioja.es/descarga/articulo/3311853.pdf > César Mejía, Nini Ramírez y Juan Rivera, Vulnerabilidad, tipos de ataques y formas de mitigarlos en las capas del modelo OSI en las redes de datos de las organizaciones (Colombia: Universidad Tecnológica de Pereira, 2012): < http://repositorio.utp.edu.co/dspace/bitstream/11059/2734/1/0058R173.pdf > Ciro Antonio Dussan C., Políticas de seguridad de información. Revista Entramado 2 (1): 86-92: < http://www.redalyc.org/articulo.oa?id=265420388008 > Cristian F. Borghello, “Seguridad Infomática: sus implicancias e implementación” (Argentina: Universidad Tecnológica Nacional, 2001) Eduardo Carozo Blumsztein, “Implantación del sistema de gestión de seguridad de la información en una empresa compleja”, Memoria de Trabajos de Difusión Científica y Técnica, ISSN 1510-7450, Nº. 5, 18págs. 77-87 (2007 – Dialnet): disponible en < http://www.um.edu.uy/_upload/_investigacion/web_investigacion_67_implantacion delsistemadegestiondeseguridad.pdf > Marco Arnao Vásquez 18
  19. 19. Lenguaje y Com unicación II EL ENSAYO. Proyecto de Investigac ión Form ativa Enrique M. Sánchez, “Una introducción al software libre”, en Ciberactivismo: sobre los usos políticos y sociales de la red, 45 – 78 (Barcelona: virus Editorial, 2006): < http://www.viruseditorial.net/pdf/ciberactivismo.pdf > Eric Maiwald, Fundamentos de Seguridad de Redes (Mexico: The McGraw-Hill Companies, Inc., 2005) Eugenio Moya Cantero, “La ética hacker y el espíritu del informacionalismo. Wikileaks como caso paradigmático”, Daimon: Revista de filosofía, ISSN 1130-0507, Nº Extra 4, 19págs. 323-332 (2011 – Dialnet): disponible en < http://revistas.um.es/daimon/article/view/152631/134891 > Ezequiel Sallis, Claudio Caracciolo y Marcelo Rodríguez, Ethical Hacking. Un enfoque metodológico para profesionales (Buenos Aires: Alfaomega Grupo Editor Argentino S.A., 2010) Gibrán Granados P., Introducción a la Criptografía. Revista Digital Universitaria 7 (7): 1 – 17: < http://www.revista.unam.mx/vol.7/num7/art55/jul_art55.pdf > Gustavo Roig Domínguez, “Los discursos del Hacking”, en Ciberactivismo: sobre los usos políticos y sociales de la red, 157 – 178 (Barcelona: virus Editorial, 2006): < http://www.viruseditorial.net/pdf/ciberactivismo.pdf > Jorge Mieres, Ataques informáticos: debilidades de seguridad comúnmente explotadas (Estados Unidos: Evil Fingers) < https://www.evilfingers.com/publications/white_AR/01_Ataques_informaticos.pdf > José Miguel San Martín García, “La Seguridad de la Información. Norma UNE de Seguridad de la Información”, Anales de mecánica y electricidad, ISSN 0003- 2506, Vol. 81, Fasc. 5, págs. 24-34 (2004 – Dialnet): disponible en < http://dialnet.unirioja.es/servlet/articulo?codigo=1036328 > Marco Arnao Vásquez 19
  20. 20. Lenguaje y Com unicación II EL ENSAYO. Proyecto de Investigac ión Form ativa Joseph Weizenbaum, Potencia del ordenador y de la razón humana: Del juicio al cálculo (San Francisco: W.H. Freeman, 1979) Karthik Krishnan, Hackers: Detección y prevención (Estados Unidos: 2004): < http://www4.ncsu.edu/~kksivara/sfwr4c03/projects/YamKhadduri-Project.pdf > Manuel Castells, Internet, libertad y sociedad: una perspectiva analítica. Revista de la Universidad Bolivariana 1 (4): < http://www.redalyc.org/pdf/305/30500410.pdf > María del Rosario De Miguel y Juan Vicente Oltra, Deontología y aspectos legales de la informática: cuestiones éticas, jurídicas y técnicas básicas (Valencia: ed. UPV., 2007) Orlando López C. 2003. , Hackers & Crackers & phreackers: una perspectiva ética. Revista de tecnología 2 (2): 59 – 64 http://www.uelbosque.edu.co/sites/default/files/publicaciones/revistas/revista_tecnologia/v olumen2_numero2/hackers2-2.pdf (Consultado el 15 de enero de 2015) Raúl J. Gil Fernández, Sistematización de la gestión de riesgos de la seguridad de la información en la red (Venezuela: Universidad Centrooccidental “Lisandro Alvarado”, 2011): < http://bibcyt.ucla.edu.ve/Edocs_Bciucla/Repositorio/TGEQA76.9.A25C352011.pdf > Rosa María Pérez Ponce, El hacking y técnicas de contra-ataques a la seguridad de información (México: Universidad Autónoma del Estado de Hidalgo México, 2008): <http://repository.uaeh.edu.mx/bitstream/bitstream/handle/123456789/10941/El %20hacking%20y%20tecnicas%20de%20contra-ataques%20seguridad.pdf? sequence=1> Steve Mizrach, “Viejos hackers, nuevos hackers: ¿son distintos?”. En Internet, Hackers y Sofware Libre. 127 – 132 (Argentina: Editora Fantasma, 2004) Marco Arnao Vásquez 20
  21. 21. Lenguaje y Com unicación II EL ENSAYO. Proyecto de Investigac ión Form ativa Stuart McClure, Joel Scambray y George Kurt, Hackers 3. Secretos y soluciones para la seguridad de redes (Madrid: McGraw-Hill/Interamericana de España, S. A. U., 2002) Vicente M. Giménez Solano, Hacking y Ciberdelito (España: Universidad Tecnológica de Valencia, 2011): < http://riunet.upv.es/bitstream/handle/10251/11856/memoria.pdf?sequence=1 > Marco Arnao Vásquez 21
  22. 22. Lenguaje y Com unicación II EL ENSAYO. Proyecto de Investigac ión Form ativa Anexo 01Anexo 01 Plan de investigación formativa documentalPlan de investigación formativa documental Marco Arnao Vásquez 22
  23. 23. Lenguaje y Com unicación II EL ENSAYO. Proyecto de Investigac ión Form ativa Formando una cultura de seguridad frente a los robos informáticos Brandon Pérez Guevara Universidad Católica Santo Toribio de Mogrovejo Facultad de Ingeniería Escuela de Sistemas y Computación, Ciclo IV Chiclayo - Perú DESCRIPCIÓN BREVE DEL PROBLEMA A INVESTIGAR Actualmente es inevitable no escuchar, en la sociedad, algunos términos como “web”, “fan page”, “internet”, “hacker”, etc. Esto indica que las comunidades de los últimos años viven inmersas en un mundo tecnológico, en el que los avances han superado las expectativas iniciales y muchas veces el hombre logra mucho más de lo que se propone. Así como podemos sentirnos orgullosos de las telecomunicaciones, el internet y los grandes inventos; podemos sentirnos también indignados frente a un tema que no puede pasar como desapercibido. Así como vivimos en una sociedad avanzada tecnológicamente, podemos encontrar intenciones maliciosas de cara a información susceptible. El problemática es la falta de cultura de seguridad en la empresa y el robo de su información. El título escogido es “Formando una cultura de seguridad frente a los robos informáticos”. Este tema presenta una gran importancia en el ámbito empresarial, ya que en todo lugar existe información vulnerable. A todas aquellas personas que roban información son conocidas, erróneamente, como “Hackers”. Además, no se tiene consideradas unas buenas prácticas de seguridad de información partiendo de políticas establecidas. Para encontrar solución al problema, se plantean las siguientes preguntas de investigación: ¿cómo influye la seguridad de información y como se debe actuar en la gestión de una empresa, organización o activos personales frente a robos informáticos? y ¿cómo y por qué actúa un ladrón informático? HIPÓTESIS Es posible que mediante la aplicación de una política se logre establecer una cultura de seguridad en las empresas. IMPORTANCIA DEL ESTUDIO Este trabajo es realizado porque es necesario adoptar una cultura de seguridad en las empresas y más que todo en las personas que trabajan con la información para evitar Marco Arnao Vásquez 23
  24. 24. Lenguaje y Com unicación II EL ENSAYO. Proyecto de Investigac ión Form ativa ser burlados por los villanos informáticos. Además, dar a conocer que no todos los conocidos como “hackers” son personas sin moral, ética o cultura. Los hackers dedicados solamente al robo de información por diversión o fines lucrativos son llamados “crackers”. Estos sí utilizan la información, principalmente robada, para fines lucrativos o de interés propio. Además la seguridad de información es importante no solamente para las empresas, sino también para cualquier persona. Esto se debe a que toda persona tiene datos importantes que proteger como: sus claves de acceso, su domicilio, sus propiedades, hasta el nombre es protegido en algunos casos. Básicamente se desarrollará el tema citado para tener conocimiento acerca del robo de información y como asegurar los activos de manera eficiente. También mantener marcada la diferencia entre “Hackers éticos” y “Crackers”, comúnmente confundida y generalizada con el término “hacker”. Este trabajo de investigación otorgará la información necesaria para cumplir el objetivo planteado al inicio de este párrafo. Debido a que, para la creación de un sistema seguro, es necesario saber los métodos de quienes atacan a estos. En conclusión, el tema “Formando una cultura de seguridad frente a los robos informáticos” ayuda a la solución de los robos de información personal y empresarial y también al robo en tiempo real de información a través de la formación de una cultura de seguridad. METODOLOGÍA DE ESTUDIO El punto de vista empleado para este ensayo será social, ético y moral; además de tecnológico y metódico. En el aspecto social, ético y moral se involucrarán los valores de la persona y las facultades que esta tiene y deben ser respetadas. Es por eso que se hará hincapié en las buenas prácticas de seguridad de información. Así se evaluará el perfil ético-moral de los hackers, crakers y el hacking ético, como doctrina hacker, para lograr una diferencia estable entre ellos. Además se tendrán en cuenta los estudios realizados por grandes autores e investigadores reconocidos como Eric Maiwald, Joseph Weizenbaum, Cristian Borghello; entre otros. La información se presentará utilizando el ensayo. El estilo a usar será Chicago. Se usarán fuentes primarias como: libros físicos o en línea. Utilizaremos preguntas de investigación que se responderán dentro de la monografía. Y por último usaremos un plan de investigación para asegurar la eficiencia de nuestra monografía. OBJETIVOS Marco Arnao Vásquez 24
  25. 25. Lenguaje y Com unicación II EL ENSAYO. Proyecto de Investigac ión Form ativa 1. Argumentar la manera en que influye la seguridad de información al momento de proteger los activos de la empresa y cómo lo hace desde un punto de vista teórico-tecnológico. 2. Explicar y fundamentar cómo actúa un ladrón informático desde la concepción de la cultura Hacker. ESTRUCTURA DEL ENSAYO (SUMARIO O PLAN DE REDACCIÓN) Macro secuencia Secuencias Microsecuencias Referencias bibliográficas impresas y virtuales (Libros, artículos científicos, monografías, etc.) Introducción  Tema  Descripción del problema  Importancia del estudio  Metodología  Objetivos  Estructura del trabajo Desarrollo Sección I Influencia de la seguridad de información en la empresa 1.1. ¿De qué manera se involucra la seguridad de información en la empresa? 1.2. Una política de seguridad como primer requisito 1.3. La alternativa de la encriptación 1.4. ¿Cómo implementar una seguridad basada en software? Cristian Borghello (2001) Eric Hughes (2004) José San Martín García (2004) Andrew Whitaker y Daniel Newman (2005) Eric Maiwald (2005) Gibran Granados (2006) Ciro Dussan (2006) María del Rosario De Miguel y Juan Vicente Oltra (2007) Eduardo Cardozo (2007) Rosa María Pérez Ponce (2008) Jorge Mieres (2009) Raúl Gil Fernández (2011) César Mejía, Nini Ramírez y Juan Rivera (2012) Sección II La razón del ladrón informático 1.1. ¿Por qué ataca un villano informático? 1.2. ¿Cómo ataca un villano informático? Joseph Weizenbaum (1976) Orlando López (2003) Steve Mizrach (2004) Karthik Krishnan (2004) Eric Maiwald (2005) Benjamín Martínez (2006) Gustavo Roig (2006) Marco Arnao Vásquez 25
  26. 26. Lenguaje y Com unicación II EL ENSAYO. Proyecto de Investigac ión Form ativa César Tarazona (2007) Carlos Tori (2008) Jorge Mieres (2009) Rodríguez (2010) Eugenio Moya (2011) Ezequiel Sallis, Claudio Caracciolo y Marcelo Vicente Giménez (2011) César Mejía, Nini Ramírez y Juan Rivera (2012) Conclusione s CRONOGRAMA DE PRESENTACIÓN Fecha Acción Observación 13 / 01 / 2014 Plan de Investigación 25 / 01 / 2014 Avance 01 11 / 02 / 2014 Avance 02 17 / 02 / 2015 Avance 03 18 / 02 / 2015 Exposición Chiclayo, enero 2015. Marco Arnao Vásquez 26
  27. 27. Lenguaje y Com unicación II EL ENSAY O. Proyecto de Investigación Form ativa CARTOGRAFÍA DEL PLAN DE INVESTIGACIÓN FORMATIVA: ENSAYO Marco Arnao Vásquez HIPÓTESIS: Es posible que mediante la aplicación de una política se logre establecer una cultura de seguridad en las empresas. ENSAYO: FORMANDO UNA CULTURA DE SEGURIDAD FRENTE A ROBOS INFORMÁTICOS PROBLEMA PREGUNTAS DE INVESTIGACIÓN OBJETIVOS SECUENCIAS REFERENCIAS BIBLIOGRÁFIC AS ¿Cómo influye la seguridad de información en la empresa? ¿Cómo y por qué actúa un ladrón informático? Las organizaciones y empresas, cada día más dependientes de estructuras tecnológicas sistematizadas, son atentadas por villanos informáticos en busca de débiles metodologías de seguridad para causar daños en los sistemas de información vulnerables Argumentar la manera en que influye la seguridad de información al momento de proteger los activos de la empresa desde un punto de vista teórico Fundamentar las mejores prácticas informáticas de seguridad de información desde el punto de vista tecnológico SECCIÓN I: Influencia de la seguridad de información en la empresa SECCIÓN II: La razón del villano informático Cristian Borghello (2001) Eric Hughes (2004) José San Martín García (2004) Andrew Whitaker y Daniel Newman (2005) Eric Maiwald (2005) Gibran Granados (2006) ; entre otros Joseph Weizenbaum (1976) Orlando López (2003) Steve Mizrach (2004) Karthik Krishnan (2004) Eric Maiwald (2005) Benjamín Martínez (2006) ; entre otros 27
  28. 28. Lenguaje y Com unicación II EL ENSAY O. Proyecto de Investigación Form ativa Anexo 02 Instrumentos de evaluación del Ensayo Marco Arnao Vásquez 28
  29. 29. Lenguaje y Com unicación II EL ENSAY O. Proyecto de Investigación Form ativa Anexo 03 Instrumentos de evaluación de la exposición Marco Arnao Vásquez 29

×