El documento trata sobre las directrices de seguridad informática. Explica conceptos como la criptografía, esteganografía, firmas digitales, hacking ético, cómputo forense, sistemas de detección e prevención de intrusiones (IDS y IPS), y seguridad en Linux. Describe los procesos de encriptado y desencriptado, los diferentes tipos de algoritmos criptográficos, y cómo la esteganografía permite ocultar mensajes. También define certificados digitales, firmas digitales y su uso para autenticación.
1. Ingeniería Informática
Asignatura: Seguridad Informática
Profesor: ISC. Lizbeth Hernández Olán
Unidad II Directrices de Seguridad Informática Página 1 de 8
2.1 Criptografía.
La criptografía proviene del griego kryptos: "ocultar", y grafos: "escribir". Es decir, significa "escritura oculta". Como concepto son las
técnicas utilizadas para cifrar y descifrar información utilizando técnicas matemáticas que hagan posible el intercambio de mensajes
de manera que sólo puedan ser leídos por las personas a quienes van dirigidos.
Encriptado
Es el proceso de conversión de datos en un formato que no se puede leer por otro usuario. Una vez que un usuario ha encriptado un
archivo, ese archivo automáticamente permanece encriptado cuando se almacena en el disco.
Desencriptado
Es el proceso de conversión de datos de un formato encriptado a su formato original.
Los algoritmos de encriptado se pueden dividir en tres clases:
1. Simétricos: Utiliza una clave única para encriptar y desencriptar datos. Por lo tanto, también se conoce como encriptado de
clave secreta, clave única, clave compartida y clave privada.
2. Asimétricos: Utiliza dos claves matemáticamente relacionadas. Una de ellas se utiliza para encriptar los datos, mientras que
la segunda se utiliza para desencriptarlos.
3. Función Hash: Se entiende como un encriptado unidireccional. Eso significa que después de que algo ha sido encriptado
con este método, no se puede desencriptar.
2.2 Esteganografía.
La palabra Esteganografía procede del griego y consta de dos palabras steganos, que significa encubierto u oculto y graphos, que
significa escritura, por tanto su traducción completa es ''escritura encubierta''.
La Esteganografía permite ocultar o encubrir datos, informaciones o comunicaciones incluyéndolas dentro de un contenedor o
portadora no sensible; en cambbio, la Criptografía solo permite ocultar el contenido o significado de un mensaje consiguiendo que una
comunicación o un mensaje no sean entendibles, pero sin ocultarlos.
La Esteganografía posibilita escribir mensajes ocultos de forma que nadie salvo el receptor autorizado sepa de la existencia del
mensaje. En el contexto de las comunicaciones seguras, dos partes pueden intercambiar información oculta sobre un canal inseguro
de modo que, qunque una tercera parte no autorizada intercepte, lea y realice cálculos sobre la información, no podrá detectar o
probar la existencia de información oculta intercambiada y solo percibirá su portadora, contenedor, cubierta, envoltorio o texto inocuo
utilizado como tapadera.
Con el auge de la informática, el mecanismo esteganográfico más extendido esta basado en imágenes digitales y su excelente
capacidad para ocultar la información; aunque existen varias formas de conseguirlo, la más básica consiste simplemente en sustituir el
bit menos significativo de cada byte por los bits del mensaje que queremos ocultar; dado que casi todos los estándares gráficos tienen
una graduación de colores mayor de lo que el ojo humano puede apreciar, la imagen no cambiará su apariencia de forma notable.
Otro elementos donde ocultar la información son las señales de audio y vídeo y el propio texto.
2. Ingeniería Informática
Asignatura: Seguridad Informática
Profesor: ISC. Lizbeth Hernández Olán
Unidad II Directrices de Seguridad Informática Página 2 de 8
2.3 Certificados y Firmas Digitales.
Un certificado digital es un documento electrónico que contiene:
El nombre de una persona o de la organización
Un número de serie.
Fecha de caducidad.
Una copia de la clave pública del titular del certificado (utilizado para la encriptación de mensajes y la creación de firmas
digitales).
La firma digital de la AC (asigna el certificado para que los destinatarios puedan comprobar que el certificado es real)
Firma Digital
Una firma digital es una esquema matemático que se utiliza para demostrar la autenticidad de un documento o mensaje digital. Se usa
también para demostrar que el mensaje o documento no ha sido modificado. Con una firma digital, el remitente utiliza la clave pública
del destinatario para crear un valor hash del mensaje, que se almacena en la sintésis del mensaje. A continuación, se envía el
mensaje al receptor. El receptor a continuación utilizará su clave privada para desencriptar el valor hash, realizar la msima función de
hash en el mesaje y comparar los valores de los dos hash. Si el mensaje no ha cambiado, coincidirá con los valores del hash.
Para demostrar que un mensaje proviene de una persona en particular, puede realizar la función hash con la clave privada y adjuntar
el valor hash al documento que se envíe. Cuando el documento es enviado y recibido por la parte receptora, se completa la misma
función de hash. A continuación, utilice la clave pública del remitente para desencriptar el valor del hash incluido en el documento. Si
coinciden los dos valores de hash, el usuario que ha enviado el documento debe haber sabido la clave privada del remitente,
demostrando quién envió el documento. También probará que el documento no ha sido cambiado.
2.4 Hacking ético.
El hacking ético describe el arte de pentester. El objetivo es medir el nivel de seguridad del Sistema de Información de empresa. De
este modo, hay empresas de seguridad que realizan ataques (también llamados ''pruebas o test de penetración'') para revelar y
corregir fallos de seguridad en un determinado sistema.
En efecto, la seguridad absoluta no existe y, en vista de la rápida evolución de los sistemas informáticos, la única manera de
garantizar una seguridad adecuada es implantar una política de pentesting, dando lugar a nuevos puestos en el mundo de los
Responsables de Seguridad de Sistemas Informáticos (RSSI).
Se definen generalmente tres perfiles en el mundo de la seguridad basada en técnicas de intrusión:
El hacker, también llamado White Hat. Su objetivo es poner de manifiesto las vulnerabilidades y comunicarlas para que se
corrijan.
El craker, también llamado Black Hat, y a menudo calificado de pirata, que intenta explotar los fallos referenciados (fallos
conocidos, 0-day exploits) o no, con el objetivo de sabotear (desfiguración del sitio web, robo de información, etc.).
El último, el pentester, tiene un perfil de hacker grey hat que ha decidido hacer de su trabajo su pasión por existir. Es un
profesional de la seguridad que actúa en el marco de la prestación de seguridad solicitada por empresas. Sus pruebas no
serán nunca destructivas.
3. Ingeniería Informática
Asignatura: Seguridad Informática
Profesor: ISC. Lizbeth Hernández Olán
Unidad II Directrices de Seguridad Informática Página 3 de 8
Se les conocen como Ethical Hacker (hacker ético), a los profesionales de la seguridad de la información que utilizan sus
conocimientos de hacking con fines defensivos. Y si bien es cierto que los malos también se defienden, esa discusión queda sobre el
tapete para ser juzgada con la escala de valores de cada uno. La función del Ethical Hacker será, por ende, determinar lo que un
intruso puede hacer sobre un sistema y la información, y velar por su protección.
Un Ethical Hacker seguirá un estricto código de conducta, dado que de eso se trata la primera parte del concepto. Pero no todo acaba
aquí, el perfil no es una cosa estática y maciza, sino que requiere de la constante renovación en busca de nuevos conocimientos,
mucha investigación, prueba de herramientas, etcétera. Por si fuera poco, quien quiera alcanzar dicho nivel, además de dedicar el
tiempo suficiente, deberá armarse de un alto grado de paciencia, perseverancia, y por sobre todo, una gran dosis de humildad.
2.5 Cómputo forense.
Es la técnica de capturar, procesar e investigar información procedente de sistemas informáticos por medio de una metodología, con el
din de que pueda ser utilizada en la justicia. (Rodney McKennish, 1998)
Según la Oficina Federa de Investigación de Estados Unidas (FBI), la Informática Forense es: ''La ciencia de adquirir, preservar,
obtener y presentar datos que han sido procesados electronicamente y guardados en un medio informático''.
En cuanto a los incidentes informáticos, éstos pueden ser de distinta naturaleza, como ser el robo de propiedad intelectual, el fraude,
la distribución de virus, la denegación de servicio, la extorsión, la estafa, el acceso no autorizado, el robo de servicios o el abuso de
privilegios.
La Informática Forense es una ciencia relativamente nueva, que carece de estándares formales, aunque hay algunos proyectos en
desarrollo, como el Código de Prácticas para Digital Forensics (C4PDF) de Roger Carhuatocto, entre otros.
En los sucesos de la vida real, la evidencia lo es todo respecto de la demostración, ya que se utiliza para establecer los hechos y
permite relacionar diferentes eventos. La evidencia digital, específicamente, es un tipo de prueba física, menos tangible que otras
formas de evidencia (ADN, huellas digitales, componentes de computadoras, papeles).Tiene algunas ventajas sobre su contraparte no
digital porque, por ejemplo, puede ser duplicada de manera exacta, es posible detectar si ha sido alterada y, aun si es borrada, a
veces recuperarla. Esto se resume en: repetible, recuperable, redundante e íntegra.
Citaremos cuatro reglas a las puertas de una nueva especialización, referido a Informática Forense:
1. minimizar el manejo del original;
2. documentar los cambios;
3. cumplir con las reglas de la evidencia y
4. no exceder el conocimiento propio.
4. Ingeniería Informática
Asignatura: Seguridad Informática
Profesor: ISC. Lizbeth Hernández Olán
Unidad II Directrices de Seguridad Informática Página 4 de 8
2.6 IDS y IPS – Intrusion Detection System / Intrusion Prevention System
Los sistemas de detección de intrusión sirven para detectar actividad sospechosa o maliciosa que pudiera colarse en una conexión de
red. Lo que hace es analizar parte del contenido de los paquetes de comunicaciones que se intercambian cuando se establece una
conexión y, si pilla algo que ya sabe de antemano que es malicioso, o bien lanza una alarma (en el caso del IDS) o bien corta la
comunicación (en el caso de un IPS).
En el mundo físico, lo más parecido es un arco que detecta metales de los aeropuertos. En cuanto suena la alarma, el personal de
seguridad te revisa para verificar si la alarma era verdadera o falsa. El IDS es el detecta metales que se coloca en puntos concretos de
una red de comunicaciones, como por ejemplo en la entrada/salida a internet y complementa a los cortafuegos ya que estos últimos
sólo abren o cierran la puerta, pero una vez abierta puedes entrar con un cuchillo escondido.
Los IDS que se colocan en la red se llaman Network IDS, pero también tenemos los que se colocan en un servidor o en una PC, que
se llaman Host IDS. Hacen lo mismo.
El término IDS siempre viene acompañado de la molestia llamada ''falso positivo''. Al igual que el detetor de matales suena generando
falsas alarmas y hay que ajustar su sensibilidad, los IDSs también hay que ajustarlos para que no estén todo el rato alarmado
innecesariamente. Y, una vez que ya están ajustados, muchas alarmas requieren verificación, por lo que hay muchas instalaciones de
IDSs que se han acabado convirtiendo en cámaras de vigilacia de la red que, con un poco de suerte, puede haber alguien detrás
mirando la cámara y viendo cómo te hacen un butrón digital del tamaño de una camioneta para poder actuar en consecuencia.
En cualquier caso, los IDS son soluciones ampliamente desplegadas, se consideran una pieza casi obligatoria en cualquier instalación
de seguridad en comunicaciones y si están bien configurados y bien gestionados por un equipo potente de profesionales, son una
pieza de protección muy eficaz.
Una vez decidido el IDS/IPS que se quiere implantar, una de las preguntas más importantes que deben realizarse las organizaciones
es dónde localizarlo. La ubicación de los sistemas IDS/IPS dependerán del equipo que se va a utilizar y del software IDS/IPS que se
va implantar.
Atendiendo a los criterios de seguridad para el establecimiento de la ubicaicón de los IDS/IPS se distinguen tres zonas en las que se
puede ubicar un sistema IDS/IPS:
Zona roja: es una zona de riesgo elevado. En esta zona el sistema IDS/IPS debe configurarse de modo que tenda poca
sensibilidad, ya que observará todo el tráfico de la red y habrá una elevada posibilidad de falsas alarmas.
Zona verde: esta zona tiene menos riesgos que la zona roja y en ella el IDS/IPS debe configurarse de modo que tenga
mayor sensibilidad que en la zona roja porque aquí el firewall o cortafuegos realiza un filtrado de accesos predefinidos por la
organización. En esta zona hay menos falsas alarmas que en la zona roja.
Zona azul: es la zona de confianza. En esta zona cualquier tipo de acceso anómalo que haya en la red hay que considerarlo
como acceso hóstil. Al haber un número inferior de accesos también se reduce considerablemente el número de falsas
alarmas, por lo que es necesario que cualquier falsa alarma detectada por el sistema IDS/IPS sea analizada con
detenimiento.
Nota: Aunque la zona azul se considere zona de confianza y el tráfico analizado sea muy limitado. Los IDS/IPS ubicados en esta zona
no forman parte de la red interna del sistema, por que no se analizará el tráfico interno de la red.
5. Ingeniería Informática
Asignatura: Seguridad Informática
Profesor: ISC. Lizbeth Hernández Olán
Unidad II Directrices de Seguridad Informática Página 5 de 8
En la siguiente imagen se pueden observar las distintas ubicaciones de los IDS/IPS, distinguiendo entre zona roja, azul y verde:
Así, atendiendo al nivel de riesgo, al grado de falsas alarmas que se está dispuesto a asumir y al tráfico de datos que se pretenda
analizar (según las preferencias de la organización) se elegirá una zona u otra para ubicar un sistema IDS/IPS en una organización.
2.7 Seguridad en Linux
Se contemplan las siguientes áreas:
1. Sistemas de archivos
Una norma básica de seguridad radica en la asignación a cada usuario sólo de los permisos necesarios para poder cubrir las
necesidades de su trabajo sin poner en riesgo el trabajo de los demás.
Riesgos. Dentro del sistema Linux todo son archivos: desde la memoria física del equipo hasta el ratón, pasando por módems,
teclado, impresoras etc. Esta filosofía de diseño es uno de los factores que mas éxito y potencia proporciona a Linux , pero también
uno de los que mas peligros, debido a que un simple error en un permiso puede permitir a un usuario modificar todo el disco duro, o
leer los datos tecleados desde una Terminal etc.
El sistema de archivos es la parte del núcleo (Kernel) mas visible por los usuarios; se encarga de abstraer propiedades físicas de los
diferentes dispositivos para proporcionar una interfaz única de almacenamiento: el archivo. Cada sistema Linux tiene su sistema de
archivos nativo. (ejemplo ext3).
Un primer criterio para mantener un sistema seguro es una correcta distribución del espacio de almacenamiento. Esto limita el riesgo
de que el deterioro de una partición afecte a todo el sistema. La pérdida se limitaría al contenido de esa partición.
2. Auditoria del sistema (syslogd)
6. Ingeniería Informática
Asignatura: Seguridad Informática
Profesor: ISC. Lizbeth Hernández Olán
Unidad II Directrices de Seguridad Informática Página 6 de 8
Casi todas las actividades realizadas en un sistema Linux son susceptibles a ser monitorizadas: desde las horas de acceso de cada
usuario al sistema hasta las paginas web mas frecuentemente visitadas, pasando por los intentos fallidos de conexión, los programas
ejecutados o incluso el tiempo de CPU que cada usuario consume.
Es evidente que esta facilidad para recolectar información tiene grandes ventajas para la seguridad. Existen también una gran
desventajas, ya que la gran cantidad de información que potencialmente se registra puede ser aprovechada para crear ataques de
negaciones de servicio.
3. Control de acceso de red
Al crecer el número de servicios que se necesitaban, se optó por una mejor idea, se empezó a utilizar un sólo demonio llamado
/etc/inetd (El daemon de Internet). Este programa escuchaba en varios puertos a la vez y ejecutaba los servidores que se necesitaran
en el momento en que se recibía la petición de conexión. Cuando empieza su ejecución revisa el archivo de configuracion
/etc/inetd.conf para determinar qué servicios de red debe controlar.
Inetd como funciona: Cuando un host cliente intenta conectarse a un servicio de red controlado por inetd, el súper servicio
recibe la petición y verifica por cualquier regla de control de acceso wrappers TCP. Si se permite el acceso, inetd verifica que
la conexión sea permitida bajo sus propias reglas para ese servicio y que el servicio no esté consumiendo más de la cantidad
de recursos o si está rompiendo alguna regla. Luego comienza una instancia del servicio solicitado y pasa el control de la
conexión al mismo.
TCP wrappers: El wrappers TCP proporciona control de acceso basado en host a los servicios de red. El componente más
importante dentro del paquete es la librería /usr/lib/libwrap.a. Cuando un intento de conexión es hecho a un servicio wrapped
TCP, el servicio primero referencia los archivos de acceso de host (/etc/hosts.allow y /etc/hosts.deny) para determinar si el
cliente tiene permitido conectarse. Luego utiliza el demonio syslog (syslogd) para escribir el nombre del host solicitante y el
servicio solicitado a /var/log/secure o /var/log/messages.
4. Técnicas de autentificación
Método clásico:De esta forma, un atacante leerá el archivo /etc/passwd y mediante un programa adivinador (o crackeador)
como Crack o John the Ripper cifrará todas las palabras de un archivo denominado diccionario, comparando el resultado
obtenido en este proceso con la clave cifrada del archivo de contraseñas; si ambos coinciden, ya ha obtenido una clave para
acceder al sistema de forma no autorizada.
Shadow Password: La idea básica de este mecanismo es impedir que los usuarios sin privilegios puedan leer el archivo
donde se almacenan las claves cifradas. En equipos con /etc/shadow el archivo /etc/passwd sigue siendo legible para todos
los usuarios, pero a diferencia del mecanismo tradicional, las claves cifradas no se guardan en él, sino en el archivo
/etc/shadow, que sólo el root puede leer.
Claves de un solo uso (one time password): Existen dos métodos para implementar esta técnica: Tokens de hardware,Code
books.
Sistemas de autentificación de red: Nis y Nis+, Kerberos, Radius, LDAP.
PAM (Pluggable Authentication Module): PAM no es un modelo de autenticación en sí, sino un mecanismo que proporciona
una interfaz entre las aplicaciones de usuario y diferentes métodos de autenticación, trantado de esta forma de solucionar
uno de los problemas clásicos de la autenticación de usuarios: el hecho de que una vez que se ha definido e implantado
cierto mecanismo en un entorno, es difícil cambiarlo.
5. Cortafuegos de host (basico)
Utilice políticas por omisión tales como: Iptables, Ipchains.
También puede utilizar paquetes tales como: Firestarter,Shorewall, TuxFrw, Turtle Firewall.
7. Ingeniería Informática
Asignatura: Seguridad Informática
Profesor: ISC. Lizbeth Hernández Olán
Unidad II Directrices de Seguridad Informática Página 7 de 8
6. Protección de conexiones de red
Para proteger las conexiones de red Linux puede usar herramientas y protocolos tales como tales como: Ssh, Ipsec, CIPE, Vtun, PKI.
7. IDS de “target”
Tripwire:El software de aseguramiento de integridad de los datos Tripwire, monitorea la consistencia de archivos y directorios
de sistema críticos identificando todos los cambios hechos a ellos. Esto lo hace mediante un método automatizado de
verificación que se ejecuta a intervalos regulares. Si Tripwire detecta que uno de los archivos monitoreados ha sido
cambiado, lo notifica al administrador del sistema vía email. Debido a que Tripwire puede fácilmente identificar los archivos
que son modificados, agregados o eliminados, se agiliza el proceso de recuperación luego de una entrada forzada pues
mantiene el número de archivos que deben ser restaurados a un mínimo.
AIDE (Entorno Avanzado de Detección de Intrusiones): Genera una base de datos que puede ser usada para verificar la
integridad de los archivos en el servidor. Usa expresiones regulares para determinar que archivos son tomados para
añadirlos a la base de datos. Puede usar una gran cantidad de algoritmos de verificación para asegurar que los archivos no
han sido alterados.
8. Pruebas y monitoreo del sistema
Las pruebas y monitoreo del sistema debe centrarse el:
Logins y passwords: Las pruebas de fortaleza de password usadas en linux son John the Ripper y Cracklib.
Sistemas de archivos: Estandarizar el uso de los IDS de target tales como los ya mencionados.
Red: Búsqueda de puertos en escucha: Usar el netstat, Usar herramientas tales como nmap.Utilizar herramientas observar
las conexiones de red tales como Tcpdump y Ethereal. Revisar periódicamente si alguno de los servicios de red acepta
contraseñas planas para capturar las mismas podemos usar dsniff. Utilice un detector de intruso de red tal como SNORT.
Utilice herramientas tales como Nessus para revisar sus servicios de red en búsqueda de vulnerabilidades.
2.8 Seguridad en Wi-Fi.
La falta de seguridad en las redes inalámbricas es un problema que, a pesar de su gravedad, no ha recibido la debida atención por
parte de los administradores de redes y los responsables de la información. La seguridad es un requisito esencial para la aceptación
de las redes de datos inalámbricas por los usuarios empresariales e instituciones públicas.
La posible carencia de medidas de seguridad adecuadas pueden ocasionar que cualquier persona con una computadora portátil
puede encontrar fácilmente el punto de acceso inalámbrico de nuestra red inalámbrica, se introduzca en la red, acceda a la
información, utilice nuestra conexión a Internet y obtenga datos importantes que se transfieran en la red inalámbrica, etc. No obstante
existen herramientas, funciones y protocolos de seguridad que ofrecen protección adecuada para redes de datos inalámbricas.
Debemos considerar que las redes de datos inalámbricas, no deben ser más vulnerables que las redes de datos cableadas, el nivel de
seguridad será dependiente del tipo y funcionalidad de la red; a mayor nivel de seguridad, exige más coste y más capacidad de
proceso.
Mecanismos de Seguridad:
En los inicios de la tecnología inalámbrica, los procedimientos y mecanismos de seguridad eran tan débiles que podía ganarse acceso
con relativa facilidad hacia redes WLAN de compañías desde la calle. Como ocurre en otras redes cableadas, la seguridad para redes
inalámbricas se centra en la privacidad de los datos y el control de acceso. La privacidad de la WLAN se consigue mediante el cifrado
de los datos con una clave que sólo puede utilizar el destinatario deseado.
8. Ingeniería Informática
Asignatura: Seguridad Informática
Profesor: ISC. Lizbeth Hernández Olán
Unidad II Directrices de Seguridad Informática Página 8 de 8
Un control de acceso robusto, también denominado autenticación, impide que los usuarios no autorizados se comuniquen a través de
los puntos de acceso y garantiza que los clientes se registren únicamente con aquellos puntos de acceso a los que pueden asociarse
según la política corporativa. Cuanto más sólida sea la política de control de acceso, más difícil le resultará al intruso acceder a los
recursos de la red inalámbrica. Estos “hoyos” en la seguridad, pueden ser aprovechados por personal no autorizado (hackers), que en
caso de que logren asociarse con el punto de acceso, ponen en riesgo no únicamente la infraestructura inalámbrica, sino también la
red inalámbrica a la cual se conecta. A continuación detallamos los mecanismos de seguridad usados en redes WLAN, así como las
ventajas y desventajas de cada uno de ellos.
Especificación original 802.11: Utiliza tres mecanismos para proteger las redes WLAN, SSID (Identificador de
Servicio), Filtrado con dirección MAC (Control de Acceso al Medio), WEP (Privacidad Equivalente a Cable).
Estándar IEEE 802.1x 3: WPA (Wi-Fi Protected Access), WPA2 (IEEE 802.11i), VPNs e IPSEC, Firewall, Portales
Cautivos.
Bibliografia
Seguridad informática - Hacking Ético: Conocer el ataque para una mejor defensa (3ª edición), Raphaël RAULT,
Ediciones ENI.
Ciberdiccionario: Conceptos de ciberseguridad en lenguaje entendible. Javier Zubieta Moreno.
Gestión de incidentes de seguridad informática. IFCT0109. Ester Chicano Tejada. IC Editorial, 2015