Вы находитесь на странице: 1из 6

TEMA PARA DISCUSIN GRUPAL

Deber de realizar grupos de .. entre sus compaeros, luego deber de leer el


tema por 30 minutos, despus discutirlo en el grupo.
Luego se le formular preguntas uno por cada grupo, las cuales sern respondidas
en una hoja de papel por los integrantes del grupo.

1. Por qu proteger?
Experiencia personal: una persona me trae su porttil porque dice que va lento. Le extraa
que haya entrado algn troyano porque le puso un antivirus.
Recojo el ordenador y le pregunto por la contrasea del administrador. Dice que no tiene
ningn usuario que se llame as, solo el usuario con su nombre. Y no tiene contrasea,
entra directamente al pinchar sobre el icono.
No temes que alguien pueda usar tu ordenador sin tu permiso?
Por qu? Mi porttil solo lo uso yo.
Pero s lo conectas a Internet. No sabes que pueden entrar por ah?
Imposible: s que tengo contrasea en la wifi de casa.
No insisto ms y cojo el ordenador. En efecto, tena un antivirus, pero estaba caducado. Lo
quito, instalo otro y encuentra un troyano. El antivirus lo quita y devuelvo el ordenador a su
dueo. Le volver a ver pronto, me temo.
As es la inmensa mayora de los usuarios de ordenadores, tabletas, mviles Deberan
saber que sus mquinas son muy poderosas, pero tambin muy vulnerables. Es
importante reconocerlo, dado que nuestra vida es digital:
Hablamos por telfonos mviles.
Enviamos mensajes con aplicaciones IP, como e-mail, WhatsApp, etc.
Hacemos compras por Internet. De todo tipo: libros, viajes, comida.
Estudiamos por Internet, desde una simple bsqueda de informacin en la Wikipedia
hasta clases en directo en un campus virtual.
Entramos en contacto con determinadas empresas y organizaciones a travs de su
pgina web para conocer las novedades de su ltimo lanzamiento, pedir ayuda con
un problema, etc.
Las empresas realizan entre s contratos electrnicos sin necesitar una firma en un
papel.
No hay marcha atrs. La era de la informacin es el presente y el futuro de nuestra
civilizacin. Por eso hay que estar preparados para evitar estas situaciones:
Nuestras conversaciones son personales: nadie ms debera poder escucharlas.
Nuestros mensajes son privados: nadie debera tener acceso a ellos.
Una compra solo interesa al vendedor y al comprador. Y debe asegurarse que el
vendedor proporcionar los productos elegidos y el comprador pagar el precio
acordado.
La informacin pblica en Internet debe estar al alcance de todos.
Las empresas deben cuidar su imagen: no pueden consentir un ataque a su pgina
web que modifique el contenido, engaando a sus clientes y usuarios.
Los contratos entre empresas son privados en muchos casos, y en todos los casos
les comprometen a llevarlos a cabo. Nadie externo debe poder alterarlos, ni siquiera
conocerlos.
La seguridad informtica intenta proteger el almacenamiento, procesamiento y
transmisin de informacin digital. En los ejemplos anteriores:
Las conversaciones por telfono mvil van cifradas: aunque otro mvil pueda recibir
la misma seal, no puede entender qu estn transmitiendo.
Los mensajes se almacenan en el servidor de correo y, opcionalmente, en el cliente
de correo que ejecuta en mi ordenador. Debemos proteger esos equipos, as como la
comunicacin entre ambos Por ejemplo, podemos cifrar el mensaje y enviarlo al
servidor por una conexin cifrada.
La navegacin por la web del vendedor puede ser una conexin no cifrada, pero
cuando se utiliza el carrito debemos pasar a servidor seguro. Por otra parte, la web
del vendedor debe estar disponible a todas horas: hay que protegerla frente a cadas

de tensin, cortes de red, accidentes o sabotajes de sus instalaciones (inundaciones,


incendios, etc.).
Los servidores de informacin de una red mundial deben estar disponibles a todas
horas.
Las empresas deben restringir el acceso a las partes protegidas de su web, como la
administracin y la edicin de contenidos.
Los contratos deben llevar la firma digital de las empresas interesadas y deben
almacenarse en discos cifrados con almacenamiento redundante, cuya copia de
seguridad ir tambin cifrada, y se dejar en un edificio diferente, a ser posible en
otra ciudad.
A pesar de toda nuestra preocupacin y todas las medidas que tomemos, la seguridad
completa es imposible. Debemos asumir que hemos desplegado la mxima seguridad
posible con el presupuesto asignado y la formacin actual de nuestros tcnicos y
usuarios:
Con ms dinero podramos replicar los servidores, las conexiones, el suministro
elctrico o todo a la vez.
Con ms formacin en los tcnicos podramos desplegar sistemas avanzados de
proteccin, como los NIPS (Network Intrusion Prevention System).
Con ms formacin en los usuarios podramos estar tranquilos porque no
compartiran su contrasea con otros usuarios, no entraran en pginas
potencialmente peligrosas y, cuando llegaran a casa, el porttil o el mvil de
empresa no lo usara cualquier otro componente de su familia.
Por otra parte, podemos estar seguros de que en nuestra casa o en nuestra empresa
estamos aplicando todas las medidas; pero no sabemos qu hacen las otras personas
con las que nos comunicamos. En el mbito personal, posiblemente enviamos imgenes
a alguien que no sabe que tiene un troyano en su ordenador, y que ese troyano est
especializado en difundir en Internet cualquier imagen que encuentra.
En el fondo, todo es informacin: sean los escasos 140 caracteres de un tweet, sean
ficheros de varios megabytes, estn en nuestro equipo y alguien puede intentar obtenerlos.
La clave es la motivacin: quin est interesado en nuestra informacin. Es poco
probable que algn superhacker intente entrar en nuestro ordenador porttil a por nuestras
fotos descargadas de la cmara o nuestros apuntes de clase; seguramente no le costara
mucho, pero el esfuerzo no le merece la pena.
En cambio, las empresas s son mucho ms atractivas para estas actividades delictivas.
Hasta tal punto que existen las auditoras de seguridad: contratamos a una empresa
externa especializada en seguridad informtica para que revise nuestros equipos y nuestros
procedimientos. Un ejemplo de estas empresas son los tiger teams (equipos tigre): intentan
acceder a nuestras instalaciones como lo hara un hacker, para confirmar si podemos estar
tranquilos.
Por otro lado, los mecanismos de seguridad deben estar adaptados a cada caso
particular: una contrasea de 20 caracteres que utiliza maysculas, minsculas, nmeros y
signos de puntuacin es muy segura; pero si obligamos a que sean as las contraseas de
todos los empleados, la mayora la apuntar en un papel y la pegar con celofn en el
monitor. Cualquiera que se siente en el ordenador tendr acceso a los recursos de ese
usuario.
Un caso real donde se mezcla lo profesional y lo personal: una persona regala a su pareja
un telfono mvil de la empresa. La pareja no lo sabe, pero el equipo lleva preinstalado un
troyano que registra todas las llamadas y mensajes efectuados con ese telfono. Con esa
informacin, el programa elabora un informe que luego cuelga en una web, donde se puede
consultar introduciendo el usuario y la contrasea adecuados.
Por este medio descubre que su pareja mantiene una relacin paralela con otra persona,
que es amigo de la pareja y tambin trabaja en la misma empresa. El siguiente paso es
regalar otro mvil a ese amigo con el mismo troyano, para as espiar la vida de ambos.
Afortunadamente, la empresa de telefona que da servicio a la empresa tiene un equipo de
vigilancia que detecta ese trfico extrao de informes espontneos. Avisa a los directivos
de la empresa y se denuncia al empleado.
Este ltimo ejemplo tambin muestra que, aunque los ataques necesitan un componente
tcnico informtico ms o menos avanzado, muchas veces hay un factor humano que

facilita enormemente la tarea del atacante y contra el que los administradores de los
sistemas poco pueden hacer.

2. Qu proteger?
Debido al presupuesto, no podemos aplicar todas las medidas de seguridad posibles a
todos los equipos de la empresa. Debemos identificar los activos que hay que
proteger: qu equipos son ms importantes y qu medidas aplicamos en cada uno. Por
ejemplo, todos los equipos deben llevar antivirus y firewall; sin embargo, la ocupacin del
disco duro solo nos preocupar en los servidores, no en los puestos de trabajo. Del mismo
modo, el control del software instalado es mucho ms exhaustivo en un servidor que en un
ordenador personal.
Sin embargo, el mayor activo es la informacin contenida en los equipos, porque un
equipo daado o perdido se puede volver a comprar y podemos volver a instalar y
configurar todas las aplicaciones que tena. Es caro, pero tenemos el mismo ordenador o
mejor; sin embargo, los datos de nuestra empresa son nuestros, nadie nos los puede
devolver si se pierden. En este punto nuestra nica esperanza son las copias de seguridad y
el almacenamiento redundante.

2.1. Equipos
En cuanto a la seguridad fsica de los equipos:
Es fundamental que no se puedan sustraer, ni el equipo entero ni alguna pieza del
mismo (principalmente el disco duro, pero tambin el dispositivo donde se hace la
copia de seguridad de ese disco).
En el caso de los porttiles no podemos evitar que salgan de la empresa, porque los
trabajadores visitan las dependencias del cliente o se llevan trabajo a casa. Pero s
debemos vigilar que esos ordenadores apliquen cifrado en el disco duro y tengan
contraseas actualizadas, sobre todo en los usuarios con perfil de administrador.
Es importante que no se puedan introducir nuevos equipos no autorizados. Un
hacker no necesita romper la seguridad de un servidor si puede conectar a la red de
la empresa un equipo suyo con el software adecuado para realizar el ataque. O si
puede introducir un troyano en algn ordenador de un empleado.
Aplicaremos mantenimiento preventivo para evitar averas. Por ejemplo, en cada
ordenador, una vez al ao, abrir la caja para limpiar los disipadores y los
ventiladores, porque el polvo acumulado puede anular su funcin de rebajar la
temperatura del sistema.

2.2. Aplicaciones
Los ordenadores de una empresa deben tener las aplicaciones estrictamente
necesarias pa ra llevar a cabo el trabajo asignado: ni ms ni menos. Menos es evidente
porque impedira cumplir la tarea; pero tambin debemos evitar instalar software extra
porque puede tener vulnerabilidades que puedan daar al sistema completo.
Cuando una empresa adquiere un nuevo equipo, el personal de sistemas procede a
maquetarlo: instala las aplicaciones utilizadas en esa empresa, cada una en la versin
adecuada para esa empresa, con la configuracin particular de esa empresa. Incluso puede
llegar a sustituir el sistema operativo que traa el equipo por la versin que se utiliza en la
empresa. El objetivo perseguido es mltiple:
Ahorrar al usuario la tarea de instalar y configurar cada aplicacin (y de paso
evitamos darle demasiados privilegios).
Asegurar que el software instalado responde a las licencias compradas en la
empresa.
Homogeneizar el equipamiento, de manera que solo tendremos que enfrentarnos a
los problemas en una lista reducida de configuraciones de hardware. La solucin
encontrada se aplica rpidamente a todos los equipos afectados.
Pero debemos estar preparados porque otras aplicaciones intentarn instalarse:
Intencionadamente. El usuario lanza un instalador del programa que ha
descargado de Internet o lo trae de casa en un CD/USB.

Inocentemente. El usuario entra en una pgina pirata que hace la descarga sin que
lo sepa, o introduce un CD/USB que desconoce que est infectado por un virus.
En ambos casos, el antivirus ser una barrera y la ausencia de privilegios de administracin
tambin ayudar. Pero conviene aplicar otras medidas para no ponerlos a prueba:
A la hora de crear un usuario, evitar que tenga privilegios de administracin del
sistema. Aunque todava puede instalar determinadas aplicaciones, solo afectarn a
ese usuario, no a todos los de esa mquina.
Desactivar el mecanismo de autoarranque de aplicaciones desde CD o USB (en
algunas empresas, al maquetar los equipos de usuario, incluso quitan los lectores de
CD y desactivan los USB de la mquina).
La primera garanta que debemos tener a la hora de instalar una aplicacin es su origen: si
ha llegado en un CD del fabricante o si la descargamos de su web, o si est incluida en el
mecanismo de actualizaciones automticas de la versin actual. Si el CD no es original, o si
descargamos de la web de otro, debemos desconfiar.
Por ejemplo, en los telfonos mviles y tabletas la mayora de las aplicaciones procede de
la aplicacin oficial del fabricante (Google Play en Android, App Store en iPhone). Utilizamos
su opcin de bsqueda, miramos que el nmero de descargas sea elevado y la bajamos.
Durante la instalacin nos pide permiso para hacer algunas cosas en el equipo, aunque no
tiene mucho sentido porque el 99 % de los usuarios no sabe qu le est preguntando y
siempre acepta. En el fondo, confiamos en que la aplicacin no es peligrosa porque la
hemos encontrado en el sitio oficial, donde se supone que la prueban antes de colgarla.

2.3. Datos
Como hemos dicho antes, las mquinas y las aplicaciones se compran; pero los datos de
nuestra empresa son exclusivamente suyos. Hay que protegerlos por dos aspectos:
Si desaparecen, la empresa no puede funcionar con normalidad.
Si llegan a manos de la competencia, la estrategia empresarial y el futuro de la
compaa estn en riesgo.
Las empresas modernas responden al esquema de oficina sin papeles: estn
informatizados todos los datos que entran, los generados internamente y los que
comunicamos al exterior. La infraestructura necesaria es amplia y compleja porque los
niveles de seguridad son elevados:
Todos los equipos deben estar especialmente protegidos contra software
malicioso que pueda robar datos o alterarlos.
El almacenamiento debe ser redundante: grabamos el mismo dato en ms de un
dispositivo. En caso de que ocurra un fallo de hardware en cualquier dispositivo, no
hemos perdido la informacin.
El almacenamiento debe ser cifrado. Las empresas manejan informacin muy
sensible, tanto los datos personales de clientes o proveedores como sus propios
informes, que pueden ser interesantes para la competencia. Si, por cualquier
circunstancia, perdemos un dispositivo de almacenamiento (disco duro, pendrive
USB, cinta de backup), los datos que contenga deben ser intiles para cualquiera
que no pueda descifrarlos.

2.4. Comunicaciones
Los datos no suelen estar recluidos siempre en la misma mquina: en muchos casos salen
con destino a otro usuario que los necesita. Esa transferencia (correo electrnico,
mensajera instantnea, disco en red, servidor web) tambin hay que protegerla. Debemos
utilizar canales cifrados, incluso aunque el fichero de datos que estamos transfiriendo ya
est cifrado (doble cifrado es doble obstculo para el atacante).
Adems de proteger las comunicaciones de datos, tambin es tarea de la seguridad
informtica controlar las conexiones a la red de la empresa. Sobre todo con la expansin
del teletrabajo, que permite aprovechar Internet para trabajar en la red interna como si
estuviramos sentados en una mesa de la oficina. Ahora las redes de las empresas
necesitan estar ms abiertas al exterior, luego estarn ms expuestas a ataques desde
cualquier parte del mundo.

El peligro tambin est en la propia oficina: no puede ser que cualquier visitante entre en
nuestra red con solo conectar su porttil a una toma de la pared o a travs del wifi de la
sala de espera. Un hacker seguramente no conoce los usuarios y contraseas de los
administradores de cada mquina; pero puede introducir software malicioso que intente
adivinarlo, aprovechar vulnerabilidades no resueltas en nuestras aplicaciones para
desplegar gusanos que ralenticen el rendimiento de la red, etc.
Un segundo objetivo de la supervisin de las comunicaciones es evitar la llegada de correo
no deseado (spam) y publicidad en general. Con ello liberamos parte de la ocupacin de
la conexin a Internet, reducimos la carga de los servidores de correo (as como la
ocupacin de disco), nuestros usuarios no sufrirn distracciones y finalmente evitamos
ataques camuflados en esos correos.
La tendencia actual en las empresas es migrar sus sistemas a Internet. Es el llamado cloud
computing. Las ms atrasadas todava se limitan a disponer del servicio de correo
electrnico con su propio dominio (@miempresa.es) y colgar la pgina web en algn
servidor compartido (hosting); pero muchas ya utilizan el almacenamiento en web (por
ejemplo, Dropbox y Google Drive para usuarios individuales; S3 de Amazon para empresas)
y algunas estn desplazando toda su infraestructura informtica a servidores virtuales
situados en algn punto del planeta con conexin a Internet (de nuevo Amazon con su
EC2).
Realmente hace mucho que utilizamos cloud computing: todos los webmail (Gmail, Hotmail,
etc.) son servicios de correo electrnico que no estn en nuestros ordenadores, sino que
nos conectamos a ellos mediante un navegador para enviar, recibir y leer los mensajes, sin
importarnos cuntos servidores o equipos de red ha necesitado desplegar esa empresa
para que todo funcione con normalidad.
Sea cual sea el grado de adopcin de cloud computing en una empresa, la primera premisa
debe ser la seguridad en las comunicaciones, porque todos esos servicios estn en
mquinas remotas a las que llegamos atravesando redes de terceros.

Caso prctico 1
Autoarranque de aplicaciones en sistema Windows
Objetivo. Conocer el mecanismo de autoarranque de aplicaciones y los riesgos que
conlleva.
Material. Ordenadores con distintas versiones de Windows, pendrive USB.
1. En Windows 95, Microsoft introdujo la
funcionalidad llamada AutoRun. El objetivo era
facilitar al usuario la instalacin de aplicaciones en
los ordenadores: bastaba con introducir el CD del
programa y automticamente arrancaba el asistente
de instalacin.
2. Para que ocurriera as, deba existir un fichero
llamado autorun.inf en la raz del CD. En este
fichero se indicaba el programa que haba que
lanzar cuando se insertaba el CD.
3. Sin embargo, un virus puede aprovechar este
mecanismo
para
reproducirse
fcilmente,
introducindose en cada CD que se grabe en esa
mquina.
4. Por desgracia, tambin funciona con los USB. Y utilizamos mucho ms los USB que los
CD.

5. Vamos a comprobarlo. En un ordenador con XP


insertamos el USB. El sistema lo reconoce y nos
qu queremos hacer con esa unidad (Fig. 1.1).

Fig. 1.1 Acciones


posibles

SP2
pregunta

No elegimos nada especial.


6. Ahora nos vamos a la raz de esa unidad
para crear dos ficheros. Uno ser una copia
del bloc de notas (le llamaremos bloc.exe); el
otro ser un autorun.inf que simplemente
lanzar ese bloc de notas. El contenido del
fichero ser (Fig. 1.2):
[autorun]
shellexecute=bloc.exe
7. Listo. Sacamos y volvemos a meter el USB. De nuevo, no elegimos ninguna accin y
vamos Inicio > Mi PC para localizar la unidad
Fig. 1.2 Preparamos la
correspondiente (Fig. 1.3).
trampa
8. Si hacemos doble clic sobre la unidad E: no
aparecern los ficheros de la unidad, sino que se
ejecutar
el
bloc de notas.
Si
ese
ejecutable
tuviera
un
virus,
ya
estaramos
infectados.
9.
Ahora
vamos a un
Windows Vista y repetimos la prueba. Al conectar el USB
tambin aparece una ventana de acciones posibles (Fig.
1.4).
Fig. 1.3 localizamos las
10. De nuevo evitamos elegir nada y
unidades posibles
Fig. 1.4 Acciones en
vamos a Inicio >Equipo para intentar el
doble clic en la unidad. Afortunadamente, se ignora nuestro
autorun.inf y aparecen los ficheros sin ningn riesgo (Fig. 1.5).
11. Este cambio de comportamiento con los USB ha sido una decisin de Microsoft que
afecta a Windows 7, Vista y XP SP3.
Est
explicado
en
esta
web:
http://goo.gl/NXXVt.

Fig. 1.5 Lista de ficheros

Вам также может понравиться