TRASFONDO

Desde su inicio, las redes de informacin han servido como medio para transportar informacin
entre las partes que conforman sus extremos, facilitando as la insaciable sed de conocimiento que
agobia al ser humano. Adems, es comn que en su acelerada evolucin, las redes de informacin
no se implementen pensando en la seguridad como un elemento intrnseco y fundamental de su
estructura, sino como un complemento necesario para contrarrestar el problema de las intrusiones y
lograr mantener as la integridad de la informacin.
Esta visin de la seguridad y el aumento de los usuarios que acceden a las redes constantemente, ha
dificultado la tarea de los administradores de evitar y contrarrestar de manera adecuada cualquier
ofensiva que viole las polticas de seguridad establecidas, lo cual trae en consecuencia grandes
prdidas financieras.
En la actualidad, el trmino Hacker ha sido usado por el medio para referirse a todas aquellas
personas que haciendo uso de su intelecto son capaces de vulnerar los sistemas; sin embargo, tal y
como nos lo demuestra Eric S. Raymond en A Brief History of Hackerdom, este trmino no ha
sido adoptado apropiadamente en su totalidad, pues el trmino en realidad fue empleado para
referirse a todos aquellos que gozan con entender y explorar el funcionamiento de los sistemas,
hecho que sin lugar a duda les otorga la habilidad de vulnerarlos. Ahora, para no incurrir en dicho
error, llamaremos a todo ente que pretenda vulnerar las polticas de seguridad como intrusos.
Un intruso emplea ataques1 al sistema para realizar su cometido, los cuales
catalogados en el RFC2828 de la siguiente manera:

se encuentran

Activo vs Pasivo: Un ataque activo es todo aquel que intenta alterar los recursos del
sistema o afectar su operacin. El ataque pasivo intenta aprender o hacer uso de la
informacin del sistema sin alterar su funcionamiento.

Interno vs Externo: Un ataque interno es aquel ataque iniciado desde el interior del
permetro de seguridad de la red. Un ataque externo es aquel ataque iniciado desde el
exterior del permetro de seguridad, realizado por un usuario sin autorizacin o que no
pertenezca al sistema (externo).

Es una actividad muy comn que los administradores de las redes endurezcan los permetro de red
enfocando sus esfuerzos hacia los ataques provenientes del exterior; actividad que, segn estudios
realizados por The Verizon Bussines RISK Team en el 2008, superan a los realizados desde el
interior. La figuras 1 y 2 detallan sus resultados.

1 Ataque es toda agresin en un sistema de seguridad que sea originado con un acto intelectual (especialmente en el
sentido de mtodo o tcnica) para evadir servicios y violar las polticas de seguridad de un sistema. [RFC-2828]

Ilustracin 1: Fuentes de ataques a las

entidades para estudios realizados entre
2004-2007

Ilustracin 2: Tendencia de los tipos de ataques realizados

entre 2004 y 2007
A pesar de la notable diferencia entre los ataques realizados por los agentes externos y los internos,
el impacto ocasionado con su xito es mucho mayor cuando provienen desde el interior, pues la
efectividad obtenida con el conocimiento de la estructura de la red, la disponibilidad de los recursos
y la confianza de las entidades en sus usuarios son variables que suelen facilitarlo. En la figura 3 se
presentan sus resultados.

Ilustracin 3: Nmero medio de los

archivos comprometidos
Como se puede apreciar en dichos estudios, los ataques con ms efectividad y que ocasionan mayor
prdida en las empresas an son los ocasionados desde el interior (Las prdidas ocasionadas por los
agentes externos en las empresas de los Estados Unidos de Amrica para el 2003 fue de US
$57.000, mientras que las ocasionadas por los internos llegaron hasta los US $2'700,000,
informacin extrada The Insider Story: A Disgruntled Employee Gets His Revenge 2), por lo
tanto, adquirir una visin global sobre los mtodos y medios con los que un intruso logra vulnerar
los sistemas desde dentro y fuera de la organizacin, es una tarea fundamental para disminuir el
riesgo ocasionado por los ataques a los sistemas.
Los medios y ataques empleados por un intruso son directamente proporcionales a los servicios y
protocolos empleados por los sistemas para realizar sus tareas, pues es comn encontrar en cada uno
de ellos baches de seguridad que pueden ser empleados para vulnerarlos. Es por esto que en
[W.Stallings]3 los ataques pasivos y los activos son catalogados segn su objetivo, tal y como se
muestra a continuacin:
Ataques pasivos:

Conocimiento del contenido de los mensajes: Ataque donde los intrusos pueden aprender y
documentar informacin sensible para realizar futuros ataques.
Anlisis de trfico: Ataque usado para complementar el conocimiento del contenido de los
mensajes, pues cuando vienen encriptados el atacante puede determinar segn el tamao y la
frecuencia de los mensajes el tipo de comunicacin empleados.

Ataques activos:
2 H. Kratt, The Insider Story: A Disgruntled Employee Gets His Revenge, 2004.
3W. Stallings, Cryptography and Network Security Principles and Practices, Fourth Edition, 2005,
592

Enmascaramiento: Ataque donde el intruso pretende suplantar la identidad otro usuario o

entidad. Usualmente es usado en conjunto con algn otro tipo de ataque.
Reenvo y modificacin de mensajes: Ataque usado para alterar, retardar o grabar mensajes
para generar efectos no autorizados.
Negacin del servicio (Denial of service DoS): Ataque que previene o inhibe el normal
funcionamiento de los recursos del sistema.

Una caracterstica fundamental en los ataques provenientes del interior, es que dada a la ubicacin
fsica de los equipos, se pueden implementar ataques desde todas las capas del modelo OSI (Open
System Interconnection), hecho que es ms eficiente cuando la capa vulnerada se encuentra entre las
primeras. Adems, existe el inconveniente en que algunos de los protocolos implementados para
facilitar la gestin de equipos desde las capas inferiores (histricamente confiadas al acceso fsico),
no emplean autenticacin en sus mensajes, hecho que otorgan grandes baches de seguridad.

Ilustracin 4: Ilustracin grfica del efecto domin cuando se vulneran las capas
inferiores del modelo OSI
En Internet es posible encontrar informacin relevante a los medios y herramientas utilizadas por
los intrusos para acceder a los sistemas, pues la gran mayora son escritas y desarrolladas por
hackers, que con el propsito de transmitir su conocimiento a la comunidad, las licencian con
licencias que cumplan con los parmetros establecidos por OSI 4 (Open Source Initiative), para que
luego la comunidad de software libre las usen y perfeccionen con el tiempo, Wireshark y TCDUMP
son ejemplos de herramientas desarrolladas por este medio (permiten visualizar los datos en una
red). Adems, existen comunidades que realizan encuentros y programas de aprendizaje donde las
personas pueden documentarse en el campo de la seguridad, que dado a su alta actividad,
proporcionan fuentes indispensables para enterarse de los ltimos avances.

4 No es igual al Open System Interconnection, pues el Open Source Initiative es una entidad sin nimo de lucro
formada para fomentar las caractersticas y beneficios del cdigo abierto.