3. Informatica1
La seguridad informática, también conocida como ciberseguridad o seguridad de tecnologías de la información, es el área
relacionada con la informática y la telemática que se enfoca en la protección de la infraestructura computacional y todo lo
relacionado con esta y, especialmente, la información contenida en una computadora o circulante a través de las redes de
computadoras.1 Para ello existen una serie de estándares, protocolos, métodos, reglas, herramientas y leyes concebidas para
minimizar los posibles riesgos a la infraestructura o a la información.
La ciberseguridad comprende software (bases de datos, metadatos, archivos), hardware, redes de computadoras y todo lo que la
organización valore y signifique un riesgo si esta información confidencial llega a manos de otras personas, convirtiéndose, por
ejemplo, en información privilegiada.
La definición de seguridad de la información no debe ser confundida con la de «seguridad informática», ya que esta última solo se
encarga de la seguridad en el medio informático, pero la información puede encontrarse en diferentes medios o formas, y no solo
en medios informáticos.
La seguridad informática es la disciplina que se encarga de diseñar las normas, procedimientos, métodos y técnicas destinados a
conseguir un sistema de información seguro y confiable.
Objetivos
La seguridad informática debe establecer normas que minimicen los riesgos a la información o infraestructura informática. Estas
normas incluyen horarios de funcionamiento, restricciones a ciertos lugares, autorizaciones, denegaciones, perfiles de usuario,
planes de emergencia, protocolos y todo lo necesario que permita un buen nivel de seguridad informática minimizando el impacto
en el desempeño de los trabajadores y de la organización en general y como principal contribuyente al uso de programas
realizados por programadores.
4. Seguridad
Sistema de gestión de seguridad
Definición
Es la parte de un sistema general de gestión establecido por una organización que incluye la estructura organizativa, la planificación de
las actividades, las responsabilidades, las prácticas, los procedimientos, los procesos y los recursos para desarrollar, implantar, llevar a
efecto, revisar y mantener al día la política de prevención en materia de accidentes graves.
Obligación
Según el artículo 9 punto 1 a), la elaboración de este documento obliga a todos los industriales de los establecimientos afectados por la
presencia de sustancias peligrosas en sus instalaciones, en cantidades iguales o superiores a las que aparecen en la columna 3 de
la parte 1 y de la parte 2 del anexo I, es decir sólo aquellos industriales en los que en sus establecimientos existen sustancias peligrosas
en las cantidades más elevadas.
Principales elementos
• Organización y personal
• Identificación y evaluación de los riesgos de accidentes graves
• Control de la explotación
• Adaptación de las modificaciones
• Planificación ante situaciones de emergencia
• Seguimiento de los objetivos fijados
• Auditoria y revisión
5. Redes
La seguridad de redes consiste en las políticas y prácticas adoptadas para prevenir y supervisar el acceso no autorizado, el uso indebido, la modificación o la
denegación de una red informática y sus recursos accesibles. La seguridad de redes involucra la autorización del acceso a datos en la red, que es controlada
por el administrador de red. Los usuarios eligen o se les asigna una identificación y contraseña u otra información de autenticación que les permite acceder a
información y programas dentro de sus autorizaciones. La seguridad de red cubre una variedad de redes de computadoras, tanto públicas como privadas, que
se usan en trabajos cotidianos; realizar transacciones y comunicaciones entre empresas, agencias gubernamentales e individuos. Las redes pueden ser
privadas, como dentro de una empresa, y otras que pueden estar abiertas al público. La seguridad de las redes está presente en organizaciones, empresas y
otros tipos de instituciones. Hace como su nombre indica: protege la red, además de proteger y supervisar las operaciones que se realizan. La forma más
común y simple de proteger un recurso de red es asignándole un nombre único y la contraseña correspondiente.
Tipos de ataques
Las redes están sujetas a ataques de fuentes maliciosas. Los ataques pueden ser de dos categorías: "pasivos" cuando un intruso intercepta datos que viajan a
través de la red, y "activos" cuando un intruso inicia comandos para interrumpir el funcionamiento normal de la red o para realizar reconocimiento y "espionaje"
para encontrar y obtener acceso a activos disponibles a través de la red.5 de tovar salas 11-09
Tipos de ataque:
Pasivos
• Red
• Escucha telefónica
• Escáner de puertos
• Escaneo libre
Activos
• Ataque de denegación de servicio
• DNS spoofing
• Ataque Man-in-the-middle
• ARP Spoofing
• Ataque por salteo de VLAN
• Ataque smurf
• Desbordamiento de búfer
• Desbordamiento de montículo
• Ataque de formato String
• Inyección SQL
• Phishing
6. Aplicaciones
La seguridad de aplicaciones web es una rama de la Seguridad Informática que se encarga específicamente de la seguridad de sitios web, aplicaciones
web y servicios web.
A un alto nivel, la seguridad de aplicaciones web se basa en los principios de la seguridad de aplicaciones pero aplicadas específicamente a la World Wide
Web. Las aplicaciones, comúnmente son desarrolladas usando lenguajes de programación tales como PHP, JavaScript, Python, Ruby, ASP.NET, JSP,
entre otros.
Con la aparición de la Web 2.0, el intercambio de información a través de redes sociales y el crecimiento de los negocios en la adopción de la Web como
un medio para hacer negocios y ofrecer servicios, los sitios web son constantemente atacados. Los hackers buscan, ya sea comprometer la red de la
corporación o a los usuarios finales, accediendo al sitio web y obligándolos a realizar drive-by downloading.12
Como resultado, la industria3 está prestando mayor atención a la seguridad de aplicaciones web,4 así como a la seguridad de las redes de
computadoras y sistemas operativos.
La mayoría de los ataques a aplicaciones web ocurren a través del cross-site scripting (XSS) e inyección SQL5 el cual comúnmente resulta de una
codificación deficiente y la falta de desinfección de las entradas y salidas de la aplicación web. Estos se encuentran en el ranking del 2009 CWE/SANS Top
25 Most Dangerous Programming Errors.6
El Phishing es otra amenaza común de las aplicaciones Web. "RSA, la División de Seguridad del EMC, anuncio hoy lo hallado en su reporte sobre fraude
de enero de 2013, estimando las pérdidas globales debido al phishing en $1.5 billones en 2012".7 Dos de los métodos de phishing más conocidos
son Covert Redirect y Open Redirect.
De acuerdo con el proveedor de seguridad Cenzic, las principales vulnerabilidades durante marzo del 2012 fueron:8
7. Informatica2
La informática, también llamada computación,1 es una ciencia que estudia métodos, técnicas, procesos, con el fin de almacenar, procesar y
transmitir información y datos en formato digital.
No existe una definición consensuada sobre el término, lo cual puede comprenderse a través de las Discusiones que acompañan esta página. Sin embargo, la
Asociación de Docentes de Informática y Computación de la República Argentina (ADICRA) han tomado una posición, definiéndola de la siguiente manera:
"La Informática es la disciplina o campo de estudio que abarca el conjunto de conocimientos, métodos y técnicas referentes al tratamiento automático de la
información, junto con sus teorías y aplicaciones prácticas, con el fin de almacenar, procesar y transmitir datos e información en formato digital utilizando sistemas
computacionales. Los datos son la materia prima para que, mediante su proceso, se obtenga como resultado información. Para ello, la informática crea y/o
emplea sistemas de procesamiento de datos, que incluyen medios físicos (hardware) en interacción con medios lógicos (software) y las personas que los
programan y/o los usan (humanware).2"
La informática, que se ha desarrollado rápidamente a partir de la segunda mitad del siglo XX con la aparición de tecnologías como el circuito integrado,
el Internet y el teléfono móvil, es la rama de la tecnología que estudia el tratamiento automático de la información.
Sistemas de tratamiento de la información
Los sistemas computacionales, generalmente implementados como dispositivos electrónicos, permiten el procesamiento automático de la información. Conforme
a ello, los sistemas informáticos deben realizar las siguientes tres tareas básicas:
• Entrada: captación de la información. Normalmente son datos y órdenes ingresados por los usuarios a través de cualquier dispositivo de entrada conectado a
la computadora.
• Proceso: tratamiento de la información. Se realiza a través de programas y aplicaciones diseñadas por programadores que indican de forma secuencial cómo
resolver un requerimiento.
• Salida: transmisión de resultados. A través de los dispositivos de salida los usuarios pueden visualizar los resultados que surgen del procesamiento de los
datos.
• Sistema operativo es un conjunto de programas que permite interactuar al usuario con la computadora.
• Sistemas de mando y control, son sistemas basados en la mecánica y motricidad de dispositivos que permiten al usuario localizar, dentro de la logística, los
elementos que se demandan. Están basados en la electricidad, o sea, no en el control del flujo del electrón, sino en la continuidad o discontinuidad de una
corriente eléctrica, si es alterna o continua o si es inducida, contra inducida, en fase o desfase (ver periférico de entrada).
• Sistemas de archivo, son sistemas que permiten el almacenamiento a largo plazo de información que no se demandará por un largo periodo de tiempo. Estos
sistemas usan los conceptos de biblioteca para localizar la información demandada.
8. Leyes
La Ley Federal de Protección de Datos Personales en Posesión de Particulares (LFPDPPP), es un cuerpo normativo de México,
aprobado por el Congreso de la Unión el 27 de abril de 2010, mismo que tiene como objetivo regular el derecho a la autodeterminación
informativa. Esta Ley fue publicada el 5 de julio de 2010 en el Diario Oficial de la Federación y entró en vigor el 6 de julio de 2010. Sus
disposiciones son aplicables a todas las personas físicas o morales, del sector público y privado, tanto a nivel federal como estatal, que
lleven a cabo el tratamiento de datos personales en el ejercicio de sus actividades, por lo tanto empresas como bancos, aseguradoras,
hospitales, escuelas, compañías de telecomunicaciones, asociaciones religiosas, y profesionistas como abogados, médicos, entre otros,
se encuentran obligados a cumplir con lo que establece esta ley. LFPD Ley Federal de Protección de Datos.
Un dato personal, de acuerdo al artículo 3 fracción V de la Ley es toda aquella información que permita identificar a una persona
Aviso de Privacidad
El aviso de privacidad es un texto en el cual se explica el uso que se le dará los datos al titular de los mismos, y se genera en forma
impresa o electrónica (aparece como una liga en una página web). La ley y su reglamento mencionan en varios de sus artículos la forma
que tendrá este aviso de privacidad. En forma adicional, el 17 de enero de 2013 la Secretaría de Economía publicó en el Diario Oficial8
de la Federación los lineamientos para la generación del Aviso de Privacidad, a efectos de minimizar la necesidad de que se deba
recurrir a empresas privadas para obtener asesoramiento en su creación. En dicha publicación se diferencian tres formas del Aviso de
Privacidad: Integral, Simplificado y Corto, según su aplicación.