2. 1.1 Introducción
•
El espectacular desarrollo de las tecnologías de la información hace
que éstas sean utilizadas en cada vez más ámbitos de la vida
cotidiana: compras, trámites burocráticos, educación, sanidad,
trámites bancarios, operaciones financieras, etc.
•
Este uso tan extendido implica la necesidad de métodos y
herramientas que protejan los recursos de los sistemas de
información y las operaciones que podemos realizar con ellos, de
posibles amenazas o ataques, intencionados o no.
•
La seguridad informática consiste en asegurar que los
recursos de un sistema sean utilizados de la manera correcta y
que el acceso y modificación de la información sólo sea
posible a las personas autorizadas dentro de los límites de su
autorización.
3. •
Hay que tener claro que la seguridad absoluta NO ES POSIBLE,
por lo que la seguridad informática engloba un conjunto de técnicas
encaminadas a prevenir y minimizar los riesgos en la medida de lo
posible.
•
La seguridad que se despliega depende principalmente del
presupuesto asignado y de la formación de los técnicos y usuarios
del sistema de información.
•
La seguridad en un sistema de información debe estar adaptada a
dicho sistema. No todos los sistemas tienen las mismas
necesidades de seguridad y por tanto no necesitan las mismas
medidas.
•
Existen empresas especializadas que realizan auditorías de
seguridad para revisar y analizar equipos y procedimientos de un
sistema de información y deducir a partir de ello las
vulnerabilidades del sistema y las medidas de seguridad a aplicar.
4. 1.2 Elementos vulnerables del sistema
•
La seguridad es un problema que afecta a todos los elementos del
sistema de información. La educación y colaboración de los
usuarios es fundamental para que las tecnologías de seguridad
puedan funcionar.
•
Los elementos principales a proteger en cualquier SI son el
software, el hardware y los datos, siendo estos últimos,
generalmente, el principal objeto de protección, por ser el más
amenazado y el más difícil de recuperar.
•
Además, el establecimiento de medidas de seguridad debe
contemplar distintos niveles: hardware, SO, las comunicaciones
(protocolos seguros…), medidas de seguridad físicas (control de
acceso…), medidas organizativas (políticas de contraseñas…) y
medidas legales (cumplimiento de la LOPD…).
5. Antes de establecer medidas de seguridad para un SI, debemos
identificar cuáles son los elementos a proteger, pensar en posibles
amenazas, evaluar un posible impacto y aplicar la medida
adecuada.
•
En equipos.- Evitar robos del equipo entero o piezas, cifrado de
discos para evitar el acceso indebido a la información o el
mantenimiento preventivo.
•
En aplicaciones.- Controlar que no haya aplicaciones innecesarias,
a más aplicaciones más vulnerabilidades, usar aplicaciones cuyo
origen sea fiable. Controlar los permisos de instalación.
•
En datos.- Deben ser especialmente protegidos, su robo o
desaparición puede acabar con la empresa en cuestión. Uso de SW
antimalware, copias de seguridad y cifrado.
•
En comunicaciones.- Uso de canales cifrados, control de las
conexiones, control de los accesos wifi, control del correo no
deseado, control del acceso a servicios en la nube.
6. •
Los objetivos de la seguridad siempre pasan por conseguir uno o
más de los siguientes aspectos básicos:
- Confidencialidad: Garantizar que la información almacenada en el
sistema informático o transmitida por la red, solamente va a estar
disponible para las personas autorizadas a acceder a dicha
información. Para garantizarla, usamos mecanismos como:
●
Autenticación: Confirmar que una persona o máquina es
quien dice ser.
●
Autorización: El acceso a la información se hará
cumpliendo los permisos establecidos.
●
Cifrado: Ocultar la información a usuarios no autorizados.
- Integridad: Garantizar que un mensaje o datos no se han modificado
sin la autorización del propietario.
1.3 Definiciones
7. - Disponibilidad: Garantizar que los usuarios puedan acceder a un
servicio o recurso con normalidad en el horario establecido. Suele
implicar el sobredimensionamiento o la redundancia de elementos.
- No repudio: Evitar que el autor de un envío pueda rechazar
haberlo hecho.
8. A la hora de definir medidas de seguridad, lo haremos atendiendo a una
serie de criterios, que implican el uso de distintos mecanismos o
medidas de seguridad que podemos clasificar de la siguiente manera:
•
Atendiendo al recurso a proteger:
o Seguridad física: trata de proteger el HW, teniendo en cuenta
aspectos como la ubicación, robos, catástrofes naturales o
artificiales. P. Ej. Detectores de incendios o control de acceso.
Amenazas contra la seguridad física son los desastres naturales,
los robos, sabotajes o los fallos de suministro.
o Seguridad lógica: trata de proteger el SW, tanto a nivel de SO
como de aplicación y datos. P. Ej. Uso de contraseñas o antivirus.
Amenazas a la seguridad lógica son el malware en general, la
pérdida de datos o los ataques a los servidores.
9. •
Atendiendo al momento de aplicación de la medida:
o Seguridad activa: incluye medidas preventivas, intenta evitar
que se produzcan amenazas. Son previas a un ataque. P. Ej.
Firewalls o uso de contraseñas.
o Seguridad pasiva: incluye medidas correctivas, intentan
minimizar el impacto de un ataque ya producido. Posteriores a un
ataque. P. Ej. Copias de seguridad o SAIs.
10. 1.4 Amenazas
•
Las amenazas a un SI pueden ser provocadas (intencionadamente
o no) por personas, condiciones ambientales o software.
•
Dentro de las amenazas provocadas por personas, debemos
distinguir:
o Personal interno de la organización que consciente o
inconscientemente aprovechan debilidades para realizar tareas
no permitidas.
o Hackers, expertos en aspectos técnicos relacionados con la
seguridad cuyo principal objetivo no es dañar sino demostrar su
capacidad o la incapacidad de los responsables. Si el hacker
pretende dañar, se le denomina cracker.
o Piratas informáticos o ciberdelincuentes, aprovechan las nuevas
tecnologías para realizar actos delictivos de los que
generalmente obtienen beneficio económico o político incluidos
programadores de malware o ciberterroristas.
11. •
Las amenazas físicas o provocadas por las condiciones
ambientales afectan al hardware y/o las instalaciones, incluyen:
o Robos, sabotajes y daños físicos.
o Cortes y picos de tensión eléctrica.
o Condiciones atmosféricas extremas.
o Catástrofes naturales o atentados.
o Interferencias electromagnéticas.
12. •
Las amenazas lógicas o provocadas por software pueden afectar,
intencionadamente o no, al sistema. Incluyen:
o Vulnerabilidades o exploit: Son fallos en el SW que pueden
ser aprovechados por algún atacante. Si la vulnerabilidad está
reconocida por el fabricante puede haber desarrollado un
parche que la corrija (necesita instalación). Si la vulnerabilidad
no está reconocida, la aplicación es insegura.
o Herramientas de seguridad: Las mismas que permiten
localizar fallos o vulnerabilidades pueden valer para atacar.
o Falsos programas de seguridad (Rogueware): Aplicaciones
que simulan un virus en el equipo para venderte un falso
antivirus.
o Puertas traseras (Backdoors): Los programadores suelen
insertar accesos a sus aplicaciones con fines de mantenimiento
que pueden ser usados de forma indebida.
13. o Virus: Son secuencias de código insertadas en un fichero
ejecutable, de forma que cuando el fichero se ejecuta también lo
hace el virus produciendo efectos indeseados.
o Gusanos (Worm): Programas maliciosos cuya principal
capacidad es ejecutarse y propagarse a través de las redes por
sí solo.
o Troyanos: Aplicaciones aparentemente inocuas que al
ejecutarse habilitan un acceso transparente al usuario para el
atacante.
o Programas conejo o bacterias: Programas cuya única función
es reproducirse, con el consiguiente consumo de recursos.
o Canales cubiertos: Canales de comunicación que permiten a
un proceso transferir información saltándose la política de
seguridad del sistema.
14. •
Las amenazas se pueden clasificar de la siguiente forma:
– Interrupción: Buscan cortar la prestación de un servicio.
– Intercepción: Busca acceder a información no autorizada.
– Modificación: Busca acceder y modificar información no
autorizada.
– Fabricación: Busca sustituir un recurso legítimo por uno
fraudulento.
•
Una vez analizadas las amenazas, podemos clasificar aquellas que
se hacen intencionadamente atendiendo a la técnica utilizada para
el ataque. Podemos distinguir:
o Malware: Programas malintencionados que afectan a los
sistemas con el objetivo de controlarlo, inutilizarlo, etc…
incluyen virus, espías, gusanos, troyanos…
o Ingeniería social: Técnicas para la obtención de información
confidencial como usuarios y contraseñas a través de la
manipulación de los usuarios legítimos.
15. o Scam: Estafa electrónica por medio del engaño como
donaciones o compras de productos fraudulentos. Si no hay
dinero de por medio, se denomina hoax o bulo.
o Spam: Correo basura o mensajes no solicitados, generalmente
de tipo publicitario, enviados de forma masiva. Técnica habitual
para la distribución de scam, hoaxes, malware o phishing.
o Sniffing: Olisquear o monitorizar el tráfico de una red para
hacerse con información confidencial.
o Botnet: Conjunto de equipos infectados controlados por una
persona que puede hacerlos trabajar conjuntamente,
generalmente para rastrear información confidencial o colapsar
un servicio por inundación de peticiones.
o Denegación de servicio (DoS): Causar que un servicio sea
inaccesible a los usuarios. El DoS distribuido (DDoS) a través
de botnet es el ciberataque más usual.
16. o Spoofing: Suplantación de identidad. Por medio de la
suplantación de la dirección IP o la MAC de un equipo, podemos
hacernos pasar por él.
o Pharming: Creación de un recurso propio, generalmente una
web o servicio, que imita un recurso ajeno de forma que
mediante una redirección de la víctima la hagamos creer que
está usando el recurso original.
o Phishing: Suplantación de la página de acceso de una web
para obtener los datos de acceso de la víctima a dicha web.
o Password cracking: Descifrado de contraseñas mediante
distintas técnicas como la fuerza bruta, ataques de diccionario,
sniffing o simple observación.
o Keyloggers: Un software que puede capturar cada pulsación de
teclado, clic de ratón o hacer capturas de pantalla y enviarlo a
un atacante.
17. 1.5 Protección y buenas prácticas
•
Tareas básicas para securizar un SI son:
– Localizar los activos a proteger (HW, SW, redes y datos).
– Establecer una política de copias de seguridad para los datos.
– Redactar y revisar planes de actuación ante catástrofes.
– Instalaciones de SW responsables. Sólo lo estrictamente
necesario y con permisos estrictos.
– Mantenerse informado de las noticias en materia de seguridad.
– Mantener el SW y SO actualizado (con actualizaciones
comprobadas).
– Formar a los usuarios en sus responsabilidades.
– Revisar ficheros log.
– Mantener y revisar una lista de equipos conectados.
– Mantener y revisar una lista de usuarios activos.
– Establecer sistemas de aviso en la medida de lo posible.
18. – Auditoría de seguridad, es el estudio que comprende el análisis
y gestión de sistemas para identificar y corregir las
vulnerabilidades que puedan darse en equipos, redes o
servidores. Sus objetivos son:
●
Revisar la seguridad en los entornos y sistemas.
●
Verificar el cumplimiento de la normativa y legislación
vigentes.
●
Elaborar un informe independiente.
Existen estándares orientados a realizar auditorías como el
COBIT, el ISO 27001 o el ISO 27002.
Una auditoría consta, resumidamente, de las siguientes fases:
●
Enumeración de SSOO, servicios, aplicaciones, topologías
y protocolos de red.
●
Detección, comprobación y evaluación de vulnerabilidades.
●
Medidas específicas de corrección.
●
Recomendaciones sobre implantación de medidas
preventivas.
19. Y puede ser de los siguientes tipos:
●
De seguridad interna: se constata el nivel de seguridad de
las redes locales.
●
De seguridad perimetral: se estudia la comunicación de
las redes locales conectadas a redes públicas.
●
Test de intrusión (Pentesting): se intenta acceder a los
sistemas para comprobar el nivel de resistencia a
intrusiones.
●
Análisis forense: análisis a posteriori de incidentes del
que se intenta extraer cómo se ha producido el incidente y
los daños ocasionados.
●
Auditoría de código de aplicaciones: análisis del código
usado en el software usado, para comprobar
vulnerabilidades.
20. 1.6 Legislación
●
La expansión de los servicios y usuarios en Internet abre un nuevo marco
de regulación aún en construcción. En España, están vigentes:
– LOPD, Ley orgánica de protección de datos (1999): Establece las
bases de la protección del tratamiento de los datos de carácter
personal de las personas físicas, independientemente del soporte en
el que se encuentre la información. La LOPD define tres niveles de
seguridad para los datos y establece medidas de seguridad y penas
para cada uno de ellos:
●
Nivel básico: Cualquier fichero con datos personales. Las medidas
necesarias son:
– Identificación y autenticación de los usuarios que acceden a
los datos.
– Registro de incidencias en el fichero.
– Copia de seguridad semanal.
21. ●
Nivel medio: Información sobre infracciones administrativas o
penales, información financiera y de gestión tributaria y datos que
definan la personalidad del sujeto. A las medidas descritas en el
nivel básico se le añadirían:
– Auditorías externas de seguridad bianuales.
– Controles de acceso físico al HW que contiene los datos.
●
Nivel alto: Datos especialmente protegidos: ideología, vida sexual,
raza, afiliación política, sindical o salud. A las medidas
anteriormente mencionadas se le añaden:
– Cifrado en las comunicaciones.
– Registro detallado de todas las operaciones realizadas sobre
el fichero.
22. – LSSI-CE, Ley de Servicios de la Sociedad de la Información y
Comercio Electrónico (2002): Regula la actividad de las empresas
dedicadas a los servicios de internet (ISP, alojamiento, dominios,
tiendas virtuales,...), entre otros:
●
Obligaciones de los prestadores de servicio en Internet,
incluyendo intermediarios en la transmisión de contenidos.
●
La publicidad vía electrónica.
●
Información requerida en la formalización de contratos online.
●
Condiciones de validez y eficacia de los servicios prestados.
●
Régimen sancionador aplicable.
Es de obligado cumplimiento para todas las webs que obtengan
beneficio directo o indirecto (publicidad).
23. – LPI, Ley de Propiedad Intelectual. Establece los derechos de autor en
el entorno digital.
●
Considera la digitalización como reproducción, para lo que se
necesita autorización expresa del titular del contenido. Incluye la
excepción de copia privada.
●
Prohibición del uso de copia u original de manera colectiva o
lucrativa.
●
Se creó un canon de compensación a los autores sobre los
distintos dispositivos de almacenamiento. Este canon revierte en
las sociedades de autores.
●
Actualmente pendiente de remodelación.
24. Enlaces útiles
•
INTECO: Blog de seguridad para mantenerse actualizado del Instituto Nacional de
Tecnologías de la Información:
http://www.inteco.es/blogs/inteco/Seguridad/BlogSeguridad/ultimos_articulos/
•
www.securityfocus.com : Informa sobre vulnerabilidades en aplicaciones y sistemas
operativos.
•
http://unaaldia.hispasec.com/ : Noticias diarias sobre seguridad informática.
•
http://www.sans.org/critical-security-controls/ : Consejos para la protección en todos
los ámbitos.