USERS fst preparado para combatir los nuevos ataques

que pueden afectar los datos de su empresa

Seguridad Informticapor
f ABIAN
PORTANTlfR
Aprenda cmo
implementar
solucionesdesde
la visindel experto
FABIAN PORTANTIER
Especialista en implementacin de
soluciones para la proteccin de datos
Titulo Seguridad Informtica

AutorFabianPortantier

Coleccin De Autor

Formato 17 x 24 cm

Pginas 192

CCWllJhl @ MMXO. Es una pu~C.lcin de Fox Andina en coediclo ron DALAGA

S.A. Hcchocldepsl1oqoo marca la ley 11723. Todos tos ueecbos reservaros.
Estapubllcacinoopuedaserreproclucldarlentoeklnlenparta,pornlnt'mmetlo
actunlotuturosinelpermisoprevioyJ"escri1odeFoxAn1nnaSASuintracci0n
asid penada por las leyes 11723 y 25446. La edit<Oru oo aslilla resoosab~idad
algunaporcual(1Jleioonsecuenciaderivadadelalabcaclo,fundonamientoy/o
utililaci00del0sseiviciosyproductos(1.lllsedesai>enyloanalizan.Todaslls~
casmendonadasenesielitroset1:r((lledadexclSvadesusrespectivOSdueios.
l""'esoenAr~na.Utrodeedcinarentila.Prinetalm:resi6nrealzadaen
Se'/a{Jal, Costa RiCa 5226, Graid Boorg, MaMnasArgenllnas, Pda. de Bueros
Alresenl,MMXll

ISl3N97B987-1857-29-6

Ptntantier,Fabian
Seguil'.ladinformtica. laed.BuenosAlri!S:FoxAnelina:
Dalaga,2012.
v.1,192p.;24x17cm.-(Seriacla)

IS8N9789871657-29-6

1.lnfonntical.Ttulo
CD0005.3
 EN NUESTRO SITIO PUEDE OBTENER, DE FORMA GRATUITA, UN CAPITULO DE CADA UNO DE LOS
LIBROS EN VERSIN PDF Y PREVIEW DIGITAL. ADEMS, PODR ACCEDER AL SUMARIO COMPLETO,
LIBRO DE UN VISTAZO, IMGENES AMPLIADAS DE TAPA Y CONTRATAPA Y MATERIAL ADICIONAL.

RedUSERS
COMUNIOAO DE TECNOLOGIA
G redusers.com
Nuestros libros incluyen guias visuales. explicaciones paso a paso. recuadros
complementarios, ejercicios. glosarios, atajos de teclado y todos los elementos
necesarios para asegurar un aprendizaje exitoso y estar conectado con el mundo
de la tecnoloqla
 EL EXPERTO
FABIAN PORTANTIER
Fabin Portantier. nacido el 13 de octubre de
1985. en Buenos Aires. es propietario de Portan
ter lnformation Securitv una consultora especia
lizada en ayudar a las empresas con la Imple
mentacin de soluciones para la proteccin de
datos, haciendo uso intensivo de tecnologas
de cdigo abierto y productos personalizados.
para satisfacer de forma completa las neceslca
des particulares de cada cliente. Durante varios
anos ha trabajado para una gran caotoao de
empresas. en los sectores de telecomunicacio
nes. hctelena. educacin. bancos y financieras.
lo que le ha dado un slido conocimiento sobre
las amenazas y vulnerabilidades que pueden
encontrarse en las diferentes infraestructuras
tecnolgicas. ast como tambin el conocimiento
de cules son las mejores maneras de protec
cin para implementar en cada caso.
El inters por la tecnologa se le despert a una
edad muy temprana. de modo que termin
el colegio secundario con el titulo de Tcnico
en Informtica. Luego realiz varios cursos de
capacitacin en diferentes reas. como diseo
de redes (Cisco Certified Design Associate) y
otros cursos de seguridad. Su conocimiento lo
ha obtenido. fundamentalmente. de forma auto
dldacta. sobre la base de libros. apuntes
y experiencia de campo adquirida
en los diferentes trabales realizados.
como administrador de sistemas.
programador. administrador de
red v. mas adelante. consultor
en seguridad informtica
Su faratlsrno por los sistemas
GNU/Linux lo ha llevado a
e conocerlos profundamente y
a implementarlos en diversas oportunidades para
brindar servicios de sitios web. bases de datos.
correo electrnico. telefona IP. momoreo de redes.
sistemas de prevencin de intrusos y filtrado de
conexiones. A travs de sus anos como admi
nistrador de servidores y redes. se ha vuelto un
experto en la programacin de scrlprs y herra
mientas en varios lenguajes. como Pvthon. Rubv
PHP y Peri. con el objetivo de resolver diversas
necesidades. como rncnltoreo de equipos. envio
de alertas aulomticas. copias de seguridad e
interconexin entre varios sistemas.
Si bien ha tenido contacto con todas las dstrlbu
cienes GNU/Linux ms populares y con varios
sistemas UNIX. su sistema operativo favorito es
Deban GNU/Linux. el cual utza en sus estaciones
de trabajo desde hace ms de diez aos. as como
tambin en la mayora de los servidores que instala.
Ha realizado diversas auditorias de seguridad
sobre diferentes Infraestructuras. de forma tanto
interna como externa. a travs de metodologas
de Penetratlon Testing y Anlisis de Vulnerabilida
des. generando reportes y asistiendo al personal
en las tareas de torna de decisiones para solucionar
los problemas de seguridad encontrados. Manlie
ne un particular inters por el alineamiento de las
necesidades del negocio de las empresas con las
necesidades y posibiliddes que ofrece la tecnolo
ga. y fomenta la buena comunicacin entre el per
sonal tcnico y los directivos. Esto lo ha llevado
a enfocar sus trabajos en meorsr la seguridad
de los sistemas teniendo en cuenta las
diferentes capacidades de inversin de las
cantidad de recursos. lo que permite a las empresas
aumentar enormemente sus niveles de seguridad.
sin requerir la lnversln de grandes sumas de dine
ro. Adems de sus amplios conocimientos sobre
el mundo del cdigo abierto. ha trabajado con
productos y tecnologas de diversas empresas
como Microsoft. Fortmet.Watchguard, Check
Point. Cisco. TrendMicro. Sophos. Svrrantec.
VMWare. Orade. OLink. SMC. AlliedTelesis. Axis.
HP. IBM. MicroTIK y Motorola. Con ellos ha imple
mentado soluciones de autenticacin centraliza
da. administracin de usuarios y perfiles. filtrado
de acceso a sitios web. optimizacin de redes.
virtualizacin de infraestructuras. proteccin
contra malware. seguridad en redes nalmbrl
cas. videcviqilancla y arquitecturas de servicios
de alta disponibilidad.
Ha dictado varias capacitaciones. tanto a parti
culares como a empresas. Su metodologfa de
enseanzase enfoca en brindar a los alumnos
fuertes bases tericas. que luego se llevan a la
oracuca en laboratorios de pruebas: esto hace
que las clases resulten entretenidas y permite
que los asistentes entiendan exactamente
qu estn haciendo y por qu. Mantie
ne un gran inters por capacitar a las
personas acerca de cules son las
tcnicas ms utilizadas para atacar
sistemas de informacin y cules
son las formas ms eficaces para
protegerse de ellas.Una de sus lli
mas actividades ha sido la creacin de
una serie de cursos. formulados sobre la
base de los objetivos de las certificacio
nes CISSP (Certifiedlnformation
SystemsSecurityProfes-
sionaf)y CEH (Certified
EthicafHacker).con el
propsito de capacitar
tanto a profesionales que
ya trabajan en el rubro.
como a personas que
quieran ingresar en el
mundo de la seguridad informtica. Con un perfil
orientado fuertemente a los ejercicios prcticos.
incluso ha desarrollado herramientas de software
que permiten explicar de modo didctico todos
los conceptos analizados en las partes tericas
de los cursos
Ha desarrollado varias aplicaciones de cdigo abier
to, entre las que se encuentra OEWS, un provecto
creado ntegramente en el lenguaje de programa
en Pvthcn que contiene varias herramientas
destinadas a simpliricar las tareas con las que debe
lidiar un profesional de la seguridad informtica.
Tambin la ha utilizado de forma Intensiva en sus
cursos. debido a que fue generada de forma tal que
su uso sea sencillo. pero didctico.
Escribe una serie de artcutos denominado "Escue
la de Hackinq'; acerca de las distintas herramientas
y metodologas utilizadas en el mundo de la segu
ridad. tanto para proteger como para atacar stste-
mas nrormarcosCon un alto contenido tcnico.
estos artculos permiten a ros lectores aprender
constantemente. realizando ejercicios paso a paso
y descubriendo tas diferentes tcnicas de hacking
que pueden utilizarse para sacar el mximo
provecho de las diversas tecnologas.
En su sitio web (www.portantier.com)
pueden encontrarse varios recursos
y un newsletter mensual gratuito.
que trata sobre las ltimas tenden
cias en seguridad y brinda trucos
para que los profesionales puedan
sacar el mximo provecho de las herra
mientas disponibles.
Dedicatoria:
A mi madre y ami
padre porque, en
cierta forma, ellos
~ :::~;:~0~scribieron
g PRLOGO
1 LA MIRADA DEL EXPERTO
Sio
; POR FABIAN PORTANTIER
O
esde que se me plante la posibilidad de
escribir un libro acerca de !a seguridad
informtica. la idea del proyecto se volvi
clara y concisa: 'escribir un libro que describa las
principales tareas de seguridad que las empre
sas debenllevara cabo en sus sistemas.desde
el punto de vista de un consultor especializado y
teniendo en cuenta las limitaciones en los presu
puestos para la seguridad".
Este objetivo no fue nada fcil de cumplir. debido
a que la seguridad informtica se encuentra
asociada directamente con el trmino 'costoso'
Esta asociacin. principalmente.es el resunado
de pasar por alto los fundamentos y los prtncl
pos bsicos de la seguridad informtica. con los
cuales podemos idear medidas de proteccin
sumamente efectivas. realizando inversiones
muy pequeas. En este libro expongo. sobre la
base de mi experiencia. cules son las tareas que
brindan mejores resultados con respecto a la
seguridad. y que pueden ser implementadas sin
realizar grandes inversiones de dinero
He tenido la oportunidad de trabajar con
muchas empresas, entre las que se encuentran
bancos. financieras. hoteles
y universidades. y he
podido notar que. si bien
cada infraestructura tec
nolgica es nica. existen
varios factores que son co
munes para todas y cada una
de ellas. Es en esos puntos comu
nes en los que tenemos que basarnos
para definir cules son los estndares por seguir.
ms all de cualquier recomendacin nremaco
nal (como ISO 27001), y poder plantearnos las ba
ses de seguridad que vamos a utilizar. Despus
de eso. podremos implementar medidas que
den respuesta a las particularidades puntuales de
cada Infraestructura. Ese es uno de los aspectos
que vamos a aprender en este libro: a pensar in
teligentemente y a aprovechar nuestros recursos
de la mejor manera posible.
Luego de realizar varios Penetration Tests. anll
sis de vulnerabilidades. auditoras. consultoras y
capacitaciones. he notado que la rnavona de las
empresas estn interesadas en aumentar la se
qurtdac de sus sistemas. y ya se ha empezado a
promover una conciencia en la cual los directivos
reconocen la importancia de que sus sistemas
se encuentren funcionando de forma correcta y
segura. La idea de invertir en seguridad se ha es
tablecido. por lo menos. en una gran parte de las
organizaciones. y podemos afirmar que la puerta
a las soluciones de seguridad est abierta pero.
desgraciadamente. la mayora de los proyectos
se ven frenados a causa de los altos costos que
representa encarar la mejora de la seguridad en
una infraestructura tecnolgica.
Es por eso que debemos
considerar varios factores
a la hora de plantear las
posibles soluciones para
implementar. y no centrar
nos solamente en adquirir el
ltimo equipo que promete
aumentar la seguridad de toda la organizacin
tambin debemos tener en mente varios factores
que van ms all de una tecnologla puntual. y
poseer una visin global. que nos permita analizar
la situacin de las empresas de manera total y nos
d la capacidad de reaccionar del mejor modo.
Despus de todo, la seguridad informtica no
es otra cosa que uno de los tantos procesos de
negocio que debe llevar a cabo una empresa
Las organizaciones de Latinoamrica tienen que
aprender a ajustar sus presupuestos e incluir a la
seguridad informtica dentro de sus polticas de
inversin. mientras que los profesionales de la se
guridad debemos acostumbramos a implemen
tar medidas de control que sean adecuadas para
nuestras capacidades econmicas. basndonos
en 10 que dictan los estndares internacionales.
pero sin dejar de considerar la situacin local.
Este libro llevar al lector por un recorrido que va
desde los fundamentos principales de la seguri
dad informtica. aquellos que se utilizan para escri
bir los documentos ms reconocidos as como
tambin para desarrollar los sistemas de ms alto
nivel: hasta trucos especificas para los sistemas
mas utlzados en las infraestructuras tecnolgicas
de la actualidad, aquellas cosas que solamente
los profesionales con experiencia en la prctica
pueden conocer y que comparto con los lectores
para que puedan desenvolverse de forma
rpida en el mundo de la seguridad.
contando con una base slida que les
permitir llevar a cabo sus tareas de la
mejor manera posible.
Escrito pensando en la situacin
actual de las empresas. y analizando
las alternativas que tenemos para
brindar soluciones que presenten una
excelente eficacia con el uso de bajos
recursos. esta obra le ser de
utilidad tanto al estudiante
que busca conocer la
visin de un experto.
para formar su carrera.
as como tambin a la persona que ya se des
empea como profesional de la seguridad, y que
busca perfeccionar sus conocimientos y mejorar
sus aptitudes laborales. Con muchas referencias
a excelentes productos y fuentes de informacin.
el lector podr descubrir una gran cantidad
de herramientas para construir su 'arsenal de
trabajo" y tener la capacidad de dar respuesta
a varias situaciones diferentes. la seguridad infor
mtica es. sin dudas. una de las reas de estudio
mas apasionantes en la actualidad. Tanto es asf
que mi profesin. muchas veces. es vista ms
como un juego que como un trabajo. debido a
requiere un proceso de aprendizaje constante.
que. adems de mejorar nuestras capacidades
para asegurar sistemas. entender cmo ronco
nan las tecnoroces y programar aplicaciones.
nos divertimos muchsimo. Pero ms all de eso.
hay que reconocer que estamos hablando de
una profesin que requiere mucho de nosotros
debido. justamente. a este proceso de aprendiza
je constante. que nos obliga a leer permanente
mente acerca de los nuevos productos y tecnolo
gfas que se estn implementando en el mercado.
estar al tanto de cules son las metodologias
ms efectivas y tener en mente qu es lo que
nos depara el siguiente paso del mundo de la
informtica. con el objetivo de estar preparados
para combatir los nuevos ataques a los cua
les tendremos que enfrentarnos
Felicito al lector por tener la iniciativa de
leer este libro. y lo aliento para que lo
haga de manera entusiasta. pero deteni
da. prestando atencin a cada uno de los
captulos que se desarrollarn a partir de
las siguientes paginas. la lectura es una
de las actividades mas fascinantes que
podemos llevar a cabo. Espero con
ansias que podamos compartir
este viaje por el mundo de la se
guridad mlormnca y todas las
particularidades que encierra.
Saludos cordiales
i CMO LEER ESTE LIBRO
~ DE UN VISTAZO
i>'

e
C Como podremos observar, ste libro no pretende explicar en detalle cada una de las tecnologas
~ utilizadas, porque se necesitaran decenas de miles de hojas para hacerlo. En cambio, podemos
~ afirmar que vamos a exponer algunos de los trucos y consejos ms efectivos que un profesional
puede conocer. ste libro se encuentra dividido en dos partes de tres captulos cada una. La
primera, explica los fundamentos de la seguridad y los procesos que debe tener en cuenta
toda organizacin que quiera mantener la seguridad de sus datos. La segunda, ms tcnica,
profundiza en las herramientas y tcnicas ms utilizadas para asegurar sistemas operativos,
dispositivos de telecomunicaciones y las nuevas tecnologas emergentes.

Recomendados. en estos Frases destacadas.

apartados encontraran links a resaltanuna Idea por
sitios. ecsceccres y artculos que encimadel resto del texto.
les resultarn de gran ayuda No estn aisladas. s1r10 que
forman parte del cuerpo,

-~~..,
Follo. pginas u....,.,.,.._,_..,,, .. """""
"""'~"'"'"'''"""""'
..... "''.,.,."'
...................

..
y Nombre del
v.,..."....,'""'"~""'"""""""'"""'
Capitulo ............... ""'""'~"~"""'"'
""'""""''""-" _ _.., .......
........... ..... , ...,,.(,_
'""'""''"'"""'""''""'"""""''"""''"
""'""""'''""''"''""""""''""""'"''"
...
.,..,.--
..., ,,,.,... ,"''""'""' ...,
'"""'""''"'""''"""""""""""'""'""''"
..,.
....,.,..,~
''Tener
la capacidad
~""'""'...,.""''""'""" de asegurar
..
'"''""""""'""""'"""""'

~., , _-~ ~-
un sistema
'"'""""'""'""""'"'"'"'"'"'
""""""'"""'"'"""" ...,_, ,,,...,. implica tener el
.........
C>oo""""'""'",.'"....,"""'.,.._'
.,..,,~.-.,.... ...
_..,...... ....,,_,_......,,.,,..,.....
,_,..., _,,_
entendimiento de
.. cmo este funciona

""""'"'"'"
......_ ..,,.....,._._
,,.,...,..,. -..-
,,,,.,.,.,.,
""'
~ ..,,,.._..,,.
... ,
......, ......,..............,,_,,,.......
_.,.,.,. .. <ltOt..,.11"'~""''"1<'

Tablas. una forma

rpida y efectiva para
,
............,.,,..,,..~""'"'"'--
......... ,,..- .,... .......
.. (~

"'""""'"'"'""" ""'"''
hacer comparativas.

..,.._ ... _._...,_.. . .

""'"'"'""'"""''"'"'"""
"""""'"""'""'""" """'"' ~.._
,.._,,,,,,_...,...,. ..,_....._,.,
~ ._.,..,

-..
..... , ..., ..
,..,."'"' '""""""""''""""""''
..
""''""""''"''""*'"'"'""''
....."'""""' ....
...__""'"'"""'
 Estadfsllcas.en
Consejos tlles. materia de seguridades
estasfrasesson tips ideales fundamentalconocer
para repasaren el da a oa la situacindel entorno.
Estos nmerosbrindan un a:

~~~~~I panoramarpidoy eficaz

o

EMPRESAS
...~,.,,.,
..,.,.
_. __
. . . . . . -~---"
LA SEGURIDAD EN LAS

""''"'""""'""'" necesidades
Comobuenosprofesionales
delaseguridad,debemos
tener en cuentatas
dela
,..,._,rd>
_ ,,,.. si.......

_,"'

""' '
"""'"'""'~"
O
.. _,,,,.,...,,,,"'

.......
~'""'""'""'"""'"'
"'"'~""""'""""",,,_
.. "'""
........
_
........,....................... ,.........
a"

~----- _,,,_. ........

organizacln,conellinde
'"'"'"""''""""'"''""""
,,..,.,,_,,...,.,_.,..,,"""''"'"'
""""""'.,.,."""'"'""""" ,,..'"' alinearlas
.,,,,, .. prcticasde
seguridadcon losobjetivos ........,_ ..,....... ""',..."...
"'"''U"'"""'"'><n
.,......,.
dela empresa ........
__. _,.
_

'" ..""''*""""""'
"''"'"""""',,,. ......,
ln>ru<l.o

.............
.......,,, ,..., ................ .....
., ,.,.,..,..~..,..,., Lasempresasvencomo
, """""'"'.......,.,.
.....
'""''"'"""'~""""'"'"'"'"""'"""
.....,..,,_... ,,.,,,_
,,,_ _.,...,,""'"""'""""'""""''""""'
.....,. ,..,,........,., obslculosdeseguridadla """" ''"""""""'""''"'...."''"""
'''"""'""'' ...."'"'
E>b"'.,""'""
'. . . ""....
,....,._....,, .. ~,.
,,_.,.........,.....,_ -
fal/adeapoyodelagereneia
(15,21%)yla falta de
...........
~s""""'"'"'""'....,."'~
-....""" __ .,. ...... '""' ..
""""'"'"'"""'"''""""'"
"''"" ...'""'"''"'......,"'""""
I0'00"""""""" .."'' ~:~f~.!!~~l.
....._,,,...,
--- ~
_.........

.............. ... 00

........"11~""'"""""""... Fl>o.,,.,..~ ..
. ~ .
O-IO<lf<oo ......

"""''"""'""'
.,. ...
-. ... ,.......,.001'""'

....
'"'""'~ ;;~:g:fz:;:- ..
"'""''"""'""'~
"" """"'"
""'"'~"""''""'""'"""!)O
,.,,,.,,, ........
LA SEGURIDAD COMO
"""'"""'"""""''"''~"'
"'""""""""'"' .... "'"""'"""'""'
'"""'""""'"''""'"""'~"'"""
..
..."'""""'""'"''"'''""'
....... _ ........ "'""" ~
PROCESO DE NEGOCIO
... .. _.
,,.,,.,.,. .......,.,_,.....,.,..,,......
.,.._.....,,""''"""''""'~ ,.
~
,, , .,......
_. ...
- ~ ................
""""'""""'"""""'""""
......

--.
, ,~
.......................... ,,. .........,.
........... ,..,. ..........
.,,,.,.,
..................... ,,. "'"'"""""'"'. .
'""'""'"'""""""'""'_...,
,............. ..- ........... .,.,......... .-.
l>w""'""'~'"''"""
oou''""''.......,""""'-''....,,''
'"''''""""""""'
............
_...........,
~.- ....
("'""""""''""'"""''""'"" ,_..
""'"""'"'""'"'
.. ""'
M.O"''""'~....,
..............,........ ..,,,,.,""'"""'"
....
Mustknow.estos
..,,.,.,<ooo""'~"""'''"'_c,,..,
'"'""'CllCl... C<H ...10,., recuadroscontienen

____......., . -..
Informacinque no
....
"_.,, ,...... ...
..,.,
.... ,. ,._.,.. ..,,,,.,,_ .....,.,
~....,,
w_.- podemosdesconocer
, ...,., .............

_
,_...,,......,_.,
H '"""""'"'~ ...,.,,,
paraentenderpor
""'"""""''"
"""'"'"w .... r><~
..~.,
completoel objetivo

__
En la pr.tctka
"'"'""'"'''"''
.......,
..,~.,.,,
,_.,,.,.,._,"''''_""_ profesional.para del captulo.
..."""'"'"' ,,,.,_..
""'"""""""""""''"'""'""""
TITl/LOSYCUTl,.CAclOfftS
.,,..,.....,,,.. reforzarlos aspectos
''""'~"'""""<"'' ....
'"..,.,,.,...,_,.,..,_,_,,,..
........,.. "' '"""''"'"""""
""'"'""'"*' "" "'"'""'> tericosdel libro.

-
""""""''""'"""""''"'"'"""'
"""'
s. .. ".,"'"'""""'"" _ '"""''''"''"""''"~ destacamosen este
. ... .....
"""'""'"'"''"""""'""''"""' ,,
,,.....,- ., ,,., .....,.~ ...........
..... recuadrolos puntos
.............. ,_,,,.,...., clavesdel libro llevados
"""""'~,.,.~~ ...., ......
.... _...,..... . D.doo_m"'"""""' a la reemao
.......,-._. ~ .. -- .."'
'"''"'""'"'
-
...............
"'""....""""""'"'
'""'"""""""'""""'""""''"""""'
,. ....... "'"""
"'"'"""'''" '"""""'
..<0>1ov""'"'"""'"""'"""'""'
"""'""_.,.._..,.,"""".,,"
.............. .,,,.'"'"""'-.,"'
..................... ""'~"'
 CONTENIDOS
0
"
u
_;: ,
SEGURIDAD INFORMATICA
;:
li'
;;
o
<
~
~ SOBRE EL AUTOR Estndares 48
PRLOGO Procedimientos 49
RESPONSABILIDADES 49
El equipo de seguridad 50
Capacitacin al personal 52

ir;11t~1ij111i1f~J~i111~
INTRODUCCIN 14
Oueflos, custodios y usuarios de datos 53

LA SEGURIDADCMO PROFESIN
El ESTUDIO, NUESTRO PAN DE CADA D'A
16
18 illil81.m.1.l!iijliM41
Tltulos y certHkaclones 19 INTRODUCCIN 56
METODOLOG(AS DE TRABAJO 20 COPIAS DE RESPALDO 57
Defensa en profundidad 21 MONITOREO 60
EL PRINCIPIO KISS 22 CONTROL DE CAMBIOS 63
DESDE ARRIBA HACIA ABAJO 24 AMBIENTESDEPRUEBASY PRODUCCIN 65
LA SEGURIDAD EN LAS EMPRESAS 26 GESTIN DE INCIDENTES 66
LASEGURIDADCOMO PROCESO DE NEGOCIO 26 BIA, BCPY DRP 70
METRICAS DE SEGURIDAD 28 SITIOS DE CONTINGENCIA 74
MEJORA CONTINUA 28 Sitio de contingencia en frfo (Cold Slte) 74
Sitio de contingencia tibio (Warm Stte> 74

Bl llll!l!lhll M lll
1 1 1
Sitio de contingencia en caliente (Hot Stte) 74

itillijl~Mllijll
INTRODUCCIN 32
EL AUTOCONOCIMIENTO 34

8 ANALISlS CUALITATIVO VS. CUANTITATIVO 37 INTRODUCCIN 76

~ AMENAZAS Y VULNERABILIDADES 38 INVENTARIO DE DISPOSITIVOS 77
=> IMPLEMENTACIN DE CONTROLES 44 SWITCHES INTELIGENTES 77
~"
w
POLITICAS Y OTROS DOCUMENTOS 46

*
ARPALERT 77
SCRIPTING 77
lIHiMIWm
INTRODUCCIN 110
ROUTERS Y SWITCHES 78 WINDOWS VS. UNIX 111

PORT SECURITY 80 CONSEJOS PARA SISTEMAS WINDOWS 112

DHCP SNOOPING 82 CONSEJOS PARA SISTEMAS UNIX 113
CUENTAS DE ACCESO CENTRAllZADAS 83 HARDENING 114

Tacacs+ 83 NETWORK ACCESO CONTROL 118

Radlus 83 TcnologlaNac 118
Olameter 83 MALWARE 119
UTILIZACINDE SERVIDORESSYSLOG 84 PROTECCINDE CAPAS 121
FIREWALLS 84 FIREWALLS 122
REDES INAlAMBRICAS 86 BACKUPS 124
PREVENOON DE INTRUSOS 90 HERRAMIENTASSIN AGENTES 124
IMPLEMENTAOON DE SISTEMAS 105 92 HERRAMIENTASEN AGENTES 124
ADMINISTRACIN REMOTA 93 SCRIPTS PERSONALIZADOS 124
CLI VS. TUI VS.GUIVS. WUI 94 RECUPERACIN COMPLETA 125
PROTOCOLOS TCP/IP 95 AUTENTICACINMULTIFACTOR 125
SSH 96 TOKENS O SMART CAROS 125
TLS 97 TOKENS VIRTUALES 126
SMTP,IMAP Y POP3 97 TARJETAS DE COORDENADAS 126
HTTPYFTP 98 BIOMETRIA 127
OHCP 99 SERVIDORES DE AUTENTICACIN 128
DNS 100 ANALISIS DE LOGS 130
SNMP 101 SERVIDORES CENTRALIZADOS 131
DISEAO DE REDES SEGURAS 102 ADMINISTRACINREMOTA 132
ZONAS DESMILITARIZADAS 104 PORTKNOCKING 133

Flrewalts 104 WMl 133

Router 105 RDPYVNC 136

a
i
Servidor 105 SSH 136
SEPARAClN DE VLANS 106 SNMP 137

REDES PRIVADASVIRTUALES 108 WEBMIN 137

e
N

DETECCIN DE INTRUSOS 137 Contar con redundancia de equipos 159

HONEYPOTS 139 CLOUND COMPUTING 159
~ GESTION DE PARCHES 141 Utilizar encrlptacln de discos 160
~e

maa
Asegurar copias de respaldo de los datos 160
; Contratar solo a proveedores de confianza 160
~ la privacidad de los datos 161
~ DIFERENCIAS CON OTROS SERVICIOS 161
INTRODUCCIN 144
TECNOLOGIA MVIL 162
WEB2.0 115
DISPOSITIVOS PORTATILES 162
REDES SOCIALES 115
TELETRABAJO 163
GOOGLE HACKING 146
ATAQUES DIRIGIDOS 164
PHISHINGY ROBODE IDENTIDAD 147

,_
Denegacin de servklos (DOS) 164
SERVICIOS DE MENSAJERIA 149
El peligro de la perseverancia 166
MENSAJERIA INSTANTANEA 150
IPV6 166
TRANSFERENCIASDEARCHIVOS 151
EXPECTATIVAS PARA El FUTURO 167
FUGA DE INFORMACIN 152
COMUNICACIONES NO DESEADAS (SPAM) 153
VOIP 154
ESPIONAJE DE COMUNICACIONES 155
VIDEOCONFERENCIAS 155 CLASIFICACIONES 173
VIRTUALIZACIN 156 INTERNO/EXTERNO 174
Asegurar los equipos de Host 156 174
Asegurar los medios de almacenamiento 157 RECONOCIMIENTO 175
Asegurar las maquinas virtuales 157 ESCANEO 175
Utlllzar las plantillas de maquinas virtuales 157 Tipos de escaneo 176
la gestin de la Infraestructura virtual 157 177

Filtros fislcos en las zonas de alta criticidad 157 Explols 178

los sistemas host son tan crltlcoscomola Informe Tcnico 180
mquina virtual que corre sobre ellos 158 lQUESIGUE? 181
Separar una red para administracin 158

8 Garantizar la conectividad de la Infraestructura

~ con las dems redes 158

=> Implementar separacin de tareas para la INDICE TEMATICO 184
~
D
w
gestin de la Infraestructura 159 CATALOGO 188
41)
PARA APROVECHAR ESTE CAPITULO

DESTACARLO COMO MATERIAL DE CONSULTA PERMANENTE. YA QUE MUCHAS DE LAS BASES

QUE AQUI SE EXPLICAN VAN A UTILIZARSE DURANTE EL RESTO DEL LIBRO

RECORDAR QUE NO PODEMOS CENTRARNOS UNICAMENTE EN LOS ASPECTOS TECNICOS.

SINO QUE TAMBIEN DEBEMOS CONSIDERAR LOS ASPECTOS ADMINISTRATIVOS DE LA PROFESIN

ANALIZAR CADA CONCEPTO EXPUESTO EN ESTE CAPITULO Y COMPARARLO CON NUESTRA

FORMA ACTUAL DE TRABAJO. VER EN QUE PODEMOS MEJORAR.
LA SEGURIDAD
INFORMTICA
En este capitulo aprenderemos a: Con el correr de los aos. los seres humanos
Obje11vo1Obtener una visin global de la dependemos cada vez ms de la tecnologa para
seguridad lntctmtlca. mantener nuestro estilo de vida. Ya sea para que
las empresas puedan desarrollar sus negocios o
Objetlvo2 Diferenciarnos como verdaderos para que las personas realicen sus tareas cotidia
profesionales. nas. la tecnologla siempre est ah. slmpllcando
las cosas. Esto ha llevado a una dependencia en
Objetlvo3 Comprender los objetivos de la la cual no todas son ventajas. Si nos situamos
seguridad en las empresas. unos veinte aos atrs. podemos imaginar que
la prdida de conectividad con Internet o el mal
Objetlvo4 Entender las metodologfas que funcionamiento de un sistema resultaba a!go
atraern el xito a nuestro trabajo. bastante molesto. Hoy en dfa. la prdida de
conectividad significa que una empresa quede
prcticamente inoperante.

a
" . "'"'"'"'"'. , .... '

,,,...,. ae .,.,.. r~] fJ

COM,.ONfrDflW.DCCOMlllC O DHEllOA OETECTE OEflEJIO~
Figura 1, El robo de
Identidad es una de las
CDNSUMOOHESI El/GLJSH
actividades delictivas
que han crecido con el DETENER DETECTAR DEFENDERSE
uso de la tecnologfa.
Codo o~o. mlllonH do~""'""" "">l<llmo dolobo De ldolllldM L1Comlsl~n reoorolD
En respuesta a esto, Com1r<IO(~O<lftlrt-C<>mm/J.olon,fTC/,109on<1nu10n>10tPt0,.1noo"
se han creado varios ~:::~~,:~~:~~.~~l"s:~=~:i;;:~"~:~~~:~~~":!:~:i:::~~,;:;~::!'~":~::1~~~'.::1
sitios que ofrecen ayuda "'P"''""l~~ue IJSl~d S~Pdmo

e informacin para
combatir este tipo de
crmenes, como es el
caso de www.ftc.gov/
bcp/edu/mlcrosltes/
ldtheft
A medida que las personas volcamos nuestras ''Adems de
malware y virus,
vidas hada la tecnologa. almacenamos lntor
macin personal. registros mdicos y balances

nos referimos
de cuenta en sistemas lnlcrrntlcos. Y a medida
que las organizaciones confian en la tecnologa

a programas
para hacer negocios. establecer comunicaciones
y transferir fondos. empiezan a aparecer otras

especializados en
personas. no tan bien intencionadas. que ven la
tecnologa como una excelente plataforma para

robar informacin
cometer acciones ltrcllas. con el fin de obtener
beneficios a costa de los ciernas. Debido a esto,

bancaria, en extraer
los daos por robo o prdida de Informacin ere
cena la par de nuestra dependencia tecnolgica.

datos personales y
Muchos crmmates optan por utilizar la tecno
loga como herramienta. ya sea para cometer

en realizar acciones
nuevas formas de crimen o para complementar
que ya estn difundidas

direccionadas al
En el caso de las empresas. debemos sumar los
intereses que puede llegar a tener la compe

enriquecimiento
tencia par obtener datos confidenciales. como
planes de marketing. balances financieros. datos

ilcito
de clientes. etctera.

. . .
Pagos electrnicos
'
38%

:
podemos observar las
categorfas de los sitios
que han sufrido ataques
de phishing durante

que los relacionados con

actividades financieras
Otros son el objetivo de Jos
24% criminales.
Es por eso que se ha vuelto necesario establecer
mejores prcticas y crear herramientas destinadas

''Debemos
a proteger la informacin de las personas y las
organizaciones. Todos estos esfuerzos se conocen
como seguridadinformtica.y han ido evo'uco
nando hasta convertirse en un rea de estudio que ser objetivos
dio lugar a la existencia de profesionales dedicados,
exclusivamente. a proteger la informacin. con las medidas
LA SEGURIDAD COMO
de seguridad,
PROFESIN considerando
Ser un profesional de la seguridad informtica los interesesde
es una tarea bastante particular. debido a que.
como veremos ms adelante. nos llevar a tener la organizacin
relacin con todas las reas de una empresa.
Es imperativo que tengamos un corocrnerto como principal
amplio acerca de cmo funciona la organizacin
para la que estamos trabajando. sus procesos de motorde accin
negocio. sus objetivos y otros aspectos. Solo de
esta manera podremos tener una visin global lo que debera hacerse y olvidarnos de lo que
acerca de cmo es adecuado proteger la infor puede hacerse. Lo que deberla hacerse es
macin con la que trabajamos. exactamente lo que dice la norma ISO 27000.
Esta es una profesin para la cual precisamos Si nos detenemos a pensar. esta es una norma
estudiar una gran cantidad de material. teniendo escrita por profesionales destacados. con una
en mente varios estndares y metooorcces. amplia experiencia y un entendimiento claro de
lo que puede llevarnos a pensar solamente en lo que es la seguridad de la informacin.

Figura 3. ISO (www.

lso.org)es el
organismo encargado
de promover el

_ .
desarrollo de normas
internacionales de
fabricacin, comercio - ....,ro- ..... - .....
y comunicacin. Su
''""'_.._.,., ........ _"

----__
funcin principal IH1MlhH1orltol1>o,Np,.n1H,

es buscarla
so-~-'"''".,,...,. "'-""""g""'""".'"=o12
estandarizacin de
normas de productos _,,,, .... ,
y seguridad para
las empresas u IO"'
organizaciones a nivel
internacional.
Entre 2008 y 2009, los
ataques informticos para
realizar fraudes financieros
mostraron un crecimiento
del66%
(Fuente: CSISurvey2009)
Lo que puede hacerse son las mejores prcti
casque podemos implementar. muchas veces.
basndonos en normas como la ISO 27000.
pero considerando que nuestros recursos son
limitados. Incluso en las organizaciones ms
grandes. los recursos tienen un lmite: la nica
diferencia es la cantidadde cerosa la derecha
que tienen esos lmites
Aqu entra en juego nuestra capacidad para
poner los pies sobre la tierra y discernir entre lo
que dice una norma de mejoresprcticasacerca
de todo lo que deberla hacerse para proteger la
informacin de una organizacin. y los recursos
con los que cuenta una entidad para lmolemen
tar medidas de seguridad. sin entrar en quiebra
por tener que realizar dichas inversiones.
Tengamos en cuenta que los objetivos de las
organizaciones son variados: captar ms clientes.
ganar ms dinero. brindar mejores servicios.
tener los costos ms bajos. y otros. pero
no existe ninguna
organizacin en la que
el objetivo principal
sea "tener las
mejores medidas
de seguridad
informtica"
En lo que a medidas de seguridad infor-
mtica se refiere. no es tan importante
la cantidad de recursos que invertimos.
sino que ms bien debemos considerar la
inteligencia con Ja cual implementamos
dichas medidas. Aclualmente existen mu
chas soluciones gratuitas o de bajo costo.
que podemos implementar para simplificar
nuestras tareas. Debemos considerar que
la Implementacin de medidas de segu-
ridad va a representar no solamente una
inversin econmica. sino ematen una
Inversin de tiempo. Existen varias herra-
mientas de seguridad que pueden permi-
tirnos reducir tos nemeos que nos lleva
realizar ciertas tareas. por lo que debemos
considerar tas capacidades tcnicas de
estas herramientas. si no tambin los bene-
ficios que pueden traernos en nues1ro dfa
de trabajo. Debido a que estas
herramientas simplifican fas
tareas diarias. podemos
no sofamente aumentar
la seguridad de nuestros
1 sistemas. y adems ero-
rrar recursos. tanto de
como todo individuo en una organizacin.
nuestro trabajo es ayudar que esta alcance sus
objetivos. Nosotros lo haremos implementando
las medidas de seguridad adecuadas. para evitar
prdida de datos, robo de informacin y fraudes.
Teniendo esto en cuenta. seremos profesionales
que aporten verdadero valor a la organizacin y
estaremos muy bien vistos en todos los niveles
jerrquicos de la empresa
EL ESTUDIO, NUESTRO PAN
DE CADA DA
Est implcito que. si hemos elegido esta carrera.
tenemos una gran aficin por los avances tecno
lgicos y el estudio de los sistemas
Figura 4. En la foto, Kevin Mitnick, uno de los
neckers ms famosos, quien luego de haber
pasado varios aos en prisin, se dedic a brindar
servicios como profesional de la seguridad y a
escribir libros sobre el rema.
''Tener
la capacidad
de asegurar
un sistema
implica tener el
entendimiento de
cmo este funciona
Por lo tanto. es preciso estar ampliamente
capacitados en varias recnoccas. y mantener
un estudio constante acerca de los cambios y las
nuevas posibilidades que se abren ero tras ano,
En varias carreras. para tener xito necesitare
mos alcanzar algo que se llama superespeclaza
cin Esto quiere decir que tendremos un conoc
miento extremadamente avanzado acerca de un
tema especifico. Por ejemplo. hay profesionales
que estn suceesoeceezacos en tecnologias
de storage. Esto les permite ser de primer nivel.
con la capacidad de solucionar prcticamente
cualquier tipo de problemas que pueda surgir
dentro de su rea de estudio.
En el caso de la seguridad informtica. la supe
respeciallzacln no sirve. Estamos hablando de
una carrera en la cual necesitamos trabajar con
todas las tecnologas que utiliza una organiza
cin: las redes. los sistemas operativos. el storage.
las aplicaciones. etctera. Pero. obviamente. no
podemos ser expertos en todo. sino que ser
preferible tener un entendimiento amplio de
cada una de estas tecnologas. Esto nos dar
una visin abarcava de toda la infraestructura
tecnolgica. con lo cual tendremos la capacidad
de implementar soluciones de seguridad para
.......
" .... , ................._
~'"""!O"'<'OI>
_h_ ...
";,, ~as~!.5~?.'.'.:~ -"
Figura5. El servicio gratuito Una al dla, provisto por
Hlspasec Sistemas (www.hispasec.com), brinda un
canal RSS con una noticia de seguridad diaria. Esta es
una excelente forma de mantenernos actuallzados.
toca la organizacin. teniendo en cuenta todos
los aspectosque la afectan.
TITULOS Y CERTIFICACIONES
La industria tecnolgica tiene la particularidad
de que no es necesario contar con tttulos o
certificaciones que avalen nuestros conoci
mientes para que podamos ser profesionales.
Si bien este tipo de reconocimientospuede
abrirnos las puertas a diferentes oportunlda
des laborales. no son totalmente necesarios.
Tomando otras carreras como ejemplo. ya sea
la medicina. la abogaca o la contaourta. todas
requieren. obligatoriamente. el ttulo de grado
para poder ejercer. Dicho esto. muchas veces
surge el interrogante de si es necesario o no
poseer certificaciones que acrediten nuestras
competencias profesionales. Aqu. como en
muchas otras cuestiones. la respuesta es
"depende". Siempre debemos tener en cuenta
el costo y el beneficio asociado a tener una
acreditacin. El costo puede ser econmico. el
tiempo de estudio que nos demande. etc
tera. Tambin debemos considerar el cargo
profesional al que apuntamos. debido a que. en
ciertas organizaciones. es imprescindible tener
un ttulo para obtener trabajo. Puntualmente.
en la seguridad informtica se habla ms de
certificaciones que de ttulos de grado. por ser
estas mas flexibles y estar mas actualizadas
En caso de que queramos diferenciarnos del
resto. y de acuerdo con el perfil profesional
que busquemos. podemos optar por diferen
tes certificaciones. Algunas de ellas son CISSP.
Securlty+.CISA. CISM y CEH. entre otras.
Capacitarnos constantemente mantiene
nuestros cerebros giles y receptivos a
nuevos conocimientos y experiencias. A
medida que pasa el tiempo. vamos a notar
que nos es cada vez ms fcil leer docu-
mentacin tecnce y entender cmo fun-
cionan los sistemas. Incluso vamos a tener
la capacidad de deducir cosas que no nos
son explicadas, debido a la experiencia que
iremos desarrollando y a que el diseo de
los sistemas y las l1erramienlas suele seguir
ciertos patrones comunes. que se repiten
en ta mayor/a de tas soluciones. temuen
es muy recomendable que constantemente
probemos nuevos productos y tecnologlas.
aunque no vayamos a utilizar/os. Para cono-
cer cules son las herramientas que tenemos
a nuestra disposicin. y cules son las nuevas
capacidades que se nos ofrecen. Esto nos
permitir analizar futuras com-
pras o implementar esas
funcionalidades nosotros
mismos. Estar al tanto
de las ltimas tenden-
cias del mercado es
un requisito excluyente
para mantenernos como
profesionales de elite.

Figura 6. CISSP (www.isc2.org) es considerada como
una de las credencia/es de mayor representatividad en
el embtto de la seguridad lnformat/ca a nivel mundial.
Otro punto importante. que muchos prorestore
les dejan de lado. esel dominio del idioma ingls.
Este es necesario para comprender la mayora
de la documentacin existente sobre seguridad.
Si tenemos problemas para dominar este idioma
estaremos muy limitados en cuanto a las fuentes
de informacin de las cuales podamos nutrirnos.
Es importante que contemos con la capacidad
de leer en ingls. aunque podemos dejar de lado
el hecho de hablar y escribir. tareas no tan nece
sarias para el estudio. De todos modos.
Para conocer ms acercade fas certifi-
cacionesde seguridadms importantes.
podemosvisitar sus sitios web corres-
pondientes:C!SSP(www.lsc2.org).CEH
(www.eccouncll.org) y Secuntv+ (www.
comptla.org). Tambinpodemos obtener
ms tntormectcn sobre las certificacio
nes ms respetadas.as como consejos
y precios de los exmenes.en www.
portantler.com
lo ms importante siempre
ser nuestra aptitud y
nuestros conocimientos,
ms all de cualquier ttulo
que podamos tener
Tambin son valorables nuestra capacidad
para resolver problemas. el hecho de poder
brindar las mejores soluciones e implementar
correctamente las medidas de seguridad. va
que esto nos diferenciar como profesionales
de primer nivel. Tengamos en cuenta que
contar con una certificacin garantiza que
tenemos nociones acerca de ciertos tipos de
conocimientos. pero el no contar con una no
quiere decir que no los tengamos
METODOLOGAS DE
TRABAJO
Como toda rea de estudio en desarrollo. la
seguridad informtica ha ido mutando con el
correr del tiempo. Fue necesario crear nuevas
tecnologas especficas para la proteccin de
los datos. con la misma frecuencia con la que se
crean las tecnologas que estamos encargados
de proteger. Pero. ms all de que podamos
evolucionar constantemente generando nuevos
mecanismos de defensa. es necesario que cante
mas con bases slidas sobre las cuales podamos
trabajar. Estas bases son las metodologas que
utilizamos para realizar nuestras tareas: debemos
pensar en ellas como los fundamentos de cada
una de nuestras acciones
Es preciso ubicar estos conceptos en un nivel
amplio. sin ser especficos. sino ms bien
globales. para que nos marquen los linea
mientos acerca de cmo debemos proceder.
En las siguientes pginas analizaremos varias
Las certificaciones
CISSP, CISA y CISM
continan siendo las ms
valoradas por el mercado
latinoamericano
(Fuente:llEncueslalatinoamericanadeSegllidaddela
InformacinACIS 201 O)

metodologas que podemos implementarpara

aumentar nuestra productividad y destacar
nos como profesionales de primer nivel.

DEFENSA EN PROFUNDIDAD Figura a La NSA (www.nsa.gov)es la agencia

Como la seguridad informtica es una ciencia criptofg/ca del gobierno de los Estados Unidos.
tan Innovadora y evolutiva. suele plantear nue Es un excelente recurso de Informacin, ya que
constantementese pub/leandocumentosde inters;
es fa desarrolladora del proyecto SE Linux.

vas maneras de hacer las cosas. Pero existe

Datos
una metodofogfa implementada en todo el
mundo. que nadie pone en discusin y siem
pre se promueve como la mejor: la defensa
Aplicaciones
en profundidad apunta a implementar varias
medidas de seguridad con el objetivo de
Hosts proteger un mismo activo. Es una tctica que
utiliza varias capas. en la que cada una provee
un nivel de proteccin adicional a ras dems.
Red Como veremos ms adelante. ninguna medida
de seguridad puede ser perfecta. con lo cual es
mucho mejor contar con varias medidas. cada
Permetro una de las cuales cumplir su papel. Esto hace
que no tengamos una dependencia absoluta
Seguridad Fsica de una sola medida de seguridad. lo que nos
permite la posibilidad de fallo y hace que sea
Polticas y Procedimientos mucho ms complejo acceder a un sistema
de forma no autorizada. Dicha estrategia ha
Sido formulada por la NSA (National Security
Capacitacin
Agency). como un enfoque para la seguridad
Figura 7. El enfoque en capas nos permmra informtica y electrnica
organizar mejor los controles que implementemos y En un principio. este concepto se utiliz6 como
aumentar la seguridad de nuestra organizacin. una estrategia militar que buscaba retrasar ms
que prevenir el avance del enemigo. 10 que
permita ganar tiempo. muy valioso en el
campo de batalla.
Debemos implementar dichas medidas basn
donos en el paradigma de proteger. detec
tar y reaccionar. Esto significa que. adems
de incorporar mecanismos de proteccin.
tenemos que estar preparados para recibir
ataques. e implementar mtodos de deteccin
y procedimfemos que nos permitan reaccio
nar y recuperarnos de dichos ataques.
Es muy importante balancear el foco de las
contramedidas en los tres elementos prima
rios de una organizacin: personas. tecnologa
y operaciones.
Personas: alcanzar un nivel de seguridad ptimo
empieza con el compromiso de la alta gerencia.
basado en un claro entendimiento de las ame
nazas. Este debe ser seguido por !a creacin de
polflicas y procedimientos. la asignacin de roles
y responsabilidades. la asignacin de recursos y
la capacitacin de los empleados. Adems. es ne
cesario implementar medidas de seguridad fsica
y control de personal con el fin de monitorizar las
instalaciones criticas para la organizacin
Tecnologla: para asegurar que las tecnologas
implementadas son las correctas. deben estable
cerse polticas y procedimientos para la adqui
Desde el punto de vista del atacante. es
mucho ms difcil penetrar un sistema que
cuente con variasmedidas de seguridad.
debido a que siempre existe la posibilidad
de que una de ellas sea fcilmente saltada.
aprovechando un error humano o alguna
otra condicin particular.pero habr otras
para protegerlo.
EL PRINCIPIO KISS
El principio KISS recomienda la tmpfemen
tecin de parles sencillas. comprensibles y
con errores de fcil deteccin y correccin.
rechazando lo complicado e innecesario en
el desarrollo de una solucin. El origen de
este acrnimo es la frase en ingls Keep lt
Simple. Stupld (que. traducido al espeot
significa: mantenlo simple. estpido). Aunque.
Implementado en el rea de seguridad. y para
ser menos ofensivos. bien podramos decir
Keep lt Simple & Secure (mantenlo simple y
seguro). La idea detrs de esto corresponde a
la certeza de que

''las cosas
scn de la tecnologa. Es preciso implementar
varios mecanismos de seguridad entre las

simplesy fciles
amenazas y sus objetivos: cada uno debe incluir
sistemas de proteccin y deteccin.

Operaciones: se enfoca en las actividades de entendersuelen

tener mucha mejor
necesarias para sostener la seguridad de la
organizacin en las tareas cotidianas. Este tipo

aceptacinque las
de medidas incluye: mantener una clara poltica
de seguridad. documentar todos los cambios

complejas
efectuados en la infraestructura. realizar anlisis
de seguridad peridicos e implementar mtodos
de recuperacin.
 J1 1
Figura 9. Muchas herramientas buscan mostrar de forma simple y grfica el estado de la seguridad. Esto nos
permite entender rpidamente cul es nuestra situacin actual para, luego. enfocarnos en los detalles.

Adems. son mucho ms fciles de mantener. y Este principio es atribuido a Guillermo de Oc

esto es muy importante para las soluciones de
seguridad. que muchas veces suelen caer en una
excesiva complejidad. lo que termina en soludo
nes inentendibles e inmantenibles.
Este concepto est relacionado directamente
con el principio de parsimonia. segn el cual
kharn. por 10 que tambin es conocido como
"La navaja de Ockham"
Dicho principio puede (y debe) ser aplicado
siempre y cuando nos encontremos en la
situacin de tener que elegir entre varios
controles de seguridad que sean iguales o
muy semejantes en cuanto a los beneficios

"cuando dos teoras en que pueden aportarnos. pero diferentes en

cuanto a su diseo y complejidad. Debemos
igualdad de condiciones prestar mucha atencin a esto y no caer en

tienen las mismas implementar lo que nos sea ms "fcil". aun a

costa de minimizar la funcionalidad o perder
consecuencias, la el foco de nuestro objetivo. Por lo tanto. es
fundamental hacer un anlisis completo de las
ms simple tiene ms soluciones disponibles a travs de las rnetodo
probabilidades de ser logas que veremos ms adelante. teniendo en
cuenta que. a veces. la complejidad de una so
correcta que la compleja" lucin es la nica forma de que esta satisfaga
verdaderamente nuestras necesidades. e
Tambin hay que considerar los recursos
con los que contamos para implementar un
control de seguridad. tanto humanos. como
de tiempo y dinero.
Esto ser fundamental para la toma de decisio
nes. debido a que una solucin compleja. a la
larga. puede ser Imposible de mantener por una
organizacin pequea en tanto que una dema
stado sencflla puede no ser sullclente para los
requerimientos de una organizacin grande.

En mis at')os de consultor me ha tocado

conocer varios casos de tmatememsoo-
es fallldas. que he tenido que solucionar.
Una de las mas memorables es fa de una
empresa que, como primera medida de
egurldad para proteger sus puertos USB.
ecidi introducir pegamento en cada uno
e euos. bloquendolos llslcamente. Esta
eoston habla sido tomada por la gerencia.
al ver que no necesitaban los puertos USB y
ue el pegamento era fa forma m;js sencilla
econmica para anular Ja posibilidad de
acceso a ellos_ Por desgracia. varios meses
'despu~s. esa companfa se vio complicada al
notar que muchos de Jos nuevos dispositi-
vos que necesitaban utilizar requerten una
anexin use
(como teclados. mouses y
oeem de seguridad). En conclustn. la em-
resa tuvo que quitar el pegamento de los
puertos U58 (algunos auedsron iguafmente
Figura10. Guillermo de ocxnsmfue un fraile y
fl/sofo Ingls. oriundo de Ockham. de a/1/ su nombre.
Para ms informacin: http://es.wlklpedia.org/wikl/
Gulllermo_de_Ockham.
DESDE ARRIBA HACIA ABAJO
Cuando se construye un edificio. el proyecto
empieza con el diser"lo de los planos; luego. se
construye la base y el resto del edificio. con cada
puerta y ventana en su lugar. como est especifi
cado en los planos. A continuacin. los mspecto
res verifican que el edificio est bien construido y
que siga las indicaciones de los planos. Notaron
la cantidad de veces que aparece la palabra
"planos"? iEs porque son muy Importantes!
Los objetivos de una

0
/nutllfzables)e i':'plemen-
lar un herramienta para organizacin son los planos
el controladores. Esto
re- c. present un gasto de
de un edificio. Deben estar
'\ tiempo y dinero que bien definidos desde el
evitado principio, para que todo el
desde un programa de seguridad est
desarrollado en base a ellos
Muchas veces las organizaciones toman "et carm
no corto" y empiezan a instalar aplicaciones de
seguridad y a poner pegamento en los puertos
USB para bloquearlos (si. realmente algunos
hacen eso). El problema no est en lo precario de
aplicar el pegamento. sino en lo intil de trabajar
sin saber hacia dnde queremos ir.
Lo que debemos hacer es empezar oc tener una
idea amplia y poco especifica de lo que queremos
obtener. Luego. sobre la base de estas ideas. pasa
remos a trabajar en los detalles de las tareas que
vamos a realizar para alcanzar los objetivos fijados.
El siguiente paso es desarrollar e implementar
las guas. estndares y procedimientos que van a
soportar las ideas generales escritas inicialmente.
A medida que avanzamos en el proceso. vamos
siendo cada vez ms especficos. pero siempre
Figura 11. Una vez que tengamos los objetivos bien
definidos, podemos pasar a desarrollar la tctica a
travs de la cual planeamos alcanzarlos. Hecho esto.
estaremos en condiciones de pensar en las tcnicas
que utilizaremos.
con los objetivos principales en mente. hasta
llegar a definir cada una de las configuraciones
necesarias para cumplir con nuestras metas.
Es importante trabajar con esta metodologa
porque eso hace que no necesitemos realizar
cambios drsticos ni redisear grandes partes de
nuestros planes. Al principio. puede parecer que
este enroque lleva ms terreo y trabajo. pero.
a medida que avancemos. notaremos que es el
enroque ms sencillo. prctico y acertado
' 'Un programa
de seguridaddebe
estar soportadoy
dirigidopor la alta
gerencia,para luego
ser distribuido hacia
abajo en el rbol
jerrquico,hasta
alcanzara toda la
organizacin
Este enfoque se conoce como desdearriba
haciaabajo.De esta forma. es fcil que toda la
organizacin sea contagiada con los conceptos
propuestos. y as se logre un trabajo armonioso
y cooperativo. Este es el enfoque indicado si
consideramos que la seguridad de la informacin
debe ser prioridad dentro de los objetivos de la
organizacin. que son definidos. como cualquier
otro. por la alta gerencia.
LA SEGURIDAD EN LAS
EMPRESAS
Las empresas. de forma consciente o inconscien
te. han volcado sus procesos de negocio neta
mente a los sistemas de informacin. Siempre
con el fin de volverse ms productivas. ahorrar
costos y poder realizar negocios en todas partes
del mundo. cada una de las operaciones de una
empresa se ha transformado en parte de una
aplicacin mrormauca
La informacin. que aos atrs era almacenada
en papel (el cuat podla guardarse en un lugar
conocido. leerse. copiarse y destruirse a mano).
ahora se encuentra dispersa en forma de ceros
y unos. dentro de varios medios de almace
namiento. como memorias USB. discos duros.
dispositivos pticos. y otros. Esto ha creado una
amplia diversidad de fuentes de informacin. que
nosotros estamos encargados de proteger.
Dentro de las filas de una organizacin que
se rige por un presupuesto. nuestros recursos
para brindar proteccin y seguridad sern
limitados. Algunas empresas asignan ms
capital a la seguridad informtica que otras.
pero lo cierto es que lodos. en mayor o menor
medida. nos encontramos limitados en cuanto
a los recursos de que podemos disponer para
realizar nuestras tareas.
Figura 12. Los pendrives USB han abierto nuevas
formas de ataque, debido a que son un excelente
hogar para todo tipo de virus.Adems, son un medio
muy utilizado para el robo de informacin.
Como buenos profesionales
de la seguridad, debemos
tener en cuenta las
necesidades de la
organizacin, con el fin de
alinear las prcticas de
seguridad con los objetivos
de la empresa
Esto es imprescindible si pretendemos Integrar la
seguridad como uno de los procesos de negocio
:=~t-;;:.:;.:.----
;g;-;;;~;,-w
Figura 13. Llnkedln y otras redes socia/es se
presentan como un desafio para Ja seguridad, debido
a que pueden ser utilizadas para trabajar. pero
tambin, para difundir Informacin confidencia/.
LA SEGURIDAD COMO
PROCESO DE NEGOCIO
Como vimos anteriormente. el compromiso con
la seguridad debe partir desde lo ms alto del
rbol jerrquico de una organizacin: la alta ge
rencia. Para esto. es necesario que las personas
encargadas de definir los rumbos de la empresa
vean la seguridad como un proceso que no los
obliga a gastar dinero. sino que les permite tanto
ahorrarlo como ganarlo. Bsicamente. zcual es la
diferencia entre ahorrar dinero y ganar dinero?
Si aseguramos nuestros sistemas de modo que Elnuevoarraydediscos
no tengamos interrupciones de servicio, estere SATAnos permite duplicarlos
datosbitabityautocomprimir Quvoy a pedir
mos ahorrando el dinero que perderamos al no deforma nativa para almorzar?
poder trabajar. Si les demostramos a nuestros
clientes un compromiso con la seguridad de sus
datos y con brindar un servicio de primer nivel.
estaremos ganando ms dinero porque atreere
mas ms clientes y mantendremos contentos a
los que ya tenemos. Estos son. simplemente. dos
Figura14. Tengamosen cuentacon quien estamos
ejemplos de cmo podemos utilizar la seguridad hablando,y pensemoscorrectamenteen que decir y
mrorrrnca con objetivos directamente relaciona cmo hacerlo.De lo contrario,es muy probableque
dos con el negocio. no nos presten la atencin que deseamos.

Las empresas ven como clientes que sus datos se encuentran protegidos
por una tecnologia muy avanzada.que garantiza
obstculos de seguridad la que nuestra organizacin cuidar de ellos y de

falta de apoyo de la gerencia sus Intereses.Siempre debemos hablar en el

"lenguaje" de nuestro interlocutor: esta es una de
(15,21 %) y la faltade nuestras tareascomo verdaderos profesionales.

entendimiento (18,47%)
(Fuen!e:llEncuestaLatinoamerlcanadeSeguridaddela
lnformacinACIS2010)
Para todo profesional de la seguridad. es de
suma importancia tener la capacidad de expo
ner estos conceptos ante los directivos de una
empresa. con el objetivo de llamar su atencin.
Como cada persona habla su propio lenguaje,
dependiendo de su rea de especializacin. es
imposible que podamos convencer al gerente
de marketing sobre las ventajasdel nuevo
sistema de proteccin de datos personales. si
le marcamos que lo bueno del sistema es que
est programadoen Python y que usa una
capa de abstraccin que permite extender el
sistema por medio de otuqms que se desarro
llan utilizando la API del fabricante. Seguramen
te. apenas escuche la palabra 'Pvthon'. dejar
de prestarnos atencin
Una situacinmuy distinta puede darse si le
explicamosque tener un sistema de proteccin
de datos personalespermite asegurar a nuestros
Debemos recordar que. cuando hablamos
de recursos. no tenemos que considerar
solamente el dinero: tambin debemos
tener en cuenta los recursos humanos y los
tiempos de los que atsoonemos; os cuales.
muchas veces. terminan siendo factores
tanto o ms importantes que fos recursos
monetarios.
Es una excelente idea que. antes de hablar
con personas ajenas al mbito de la segu
nasa informtica. tengamos unos minutos
para reflexionar acerca de qu ventajas
debemos exponer. Ponernos en la piel de fa
otra persona y analizar sus necesidades nos
permitir conectarnos mejor con cada uno
de los integrantes de la empresa.
Recordando estos consejos. podremos lograr
que la seguridad informtica sea vista en toda
la organizacin como algo necesario. que no
se hace por obligacin sino por una necest
dad. y que mantener nuestra empresa segura
nos beneficia a todos.
MTRICAS DE SEGURIDAD
Partiendo de la base de que no podemos hablar
de seguridad si no tenemos la capacidad de
medir de alguna manera su estado. vemos que
se torna necesario contar con una metodoloqa
que nos ayude a comprender en detalle nuestra
situacin actual y pasada. Siendo mas esoecm
cos. es necesario que, por lo menos. podamos
contestar a la pregunta bsica: cunto hemos
mejorado nuestra seguridad con respecto al
ano anterior?". El verdadero objetivo de hacernos
esta pregunta es contar con una respuesta que
pueda ser entregada a la alta gerencia. con el
objetivo de asistirla en la toma de decisiones que
marcaran el rumbo de la organizacin. Por lo tan
to. las mtricas que definimos y los valores que
obtenemos tienen que poder ser expresados en
un lenguaje entendible desde el punto de vista
del negocio. Podemos tener grandes reportes
con datos y vulnerabilidades identificadas. los
cuales carecern de sentido si no sabemos qu
es aquello que queremos responder y cmo esto
beneficia a la organizacin.
Lo cierto es que necesitaremos. al menos. dos
tipos de mtricas. La primera debe tener un enfo
que tcnico. y nos servir para analizar minucio
samente en qu puntos podemos mejorar. qu
vulnerabilidades debemos solucionar primero.
qu medidas de seguridad estn teniendo xito.
cules deben ser reemplazadas o modificadas.
etctera. Este reporte estar destinado a las reas
tecnolgicas. y debe ser revisado por personal
idneo. que tenga la capacidad de proponer
mejoras y adquirir nuevas soluciones.
El segundo reporte debe ser dirigido a la
direccin de la empresa. y tendr como objenvo
mostrar un pantallazo general acerca de cul es
nuestra situacin con respecto a la seguridad: en
qu hemos mejorado. en qu debemos mejorar
y si existen nuevas problemticas que necesita
mas resolver. Tambin podemos incluir propues
tas de inversin. ya sea de recursos tecnolgicos.
recursos humanos o capacitaciones al personal
Tambin debemos tener en cuenta que no todo
es medible, porque existen valores subjelivos
de los cuales no podremos obtener grficos ni
valores concretos. Por ejemplo. en el caso de que
nuestro sitio web sea atacado y modificado. la
prdida de credibilidad que sufrir nuestra orga
nizacin no ser medible (aunque sin duda ser
algo muy negativo). Para resumir la importancia
de las mtricas. debemos recordar una frase que
se aplica no solo a la seguridad. sino tambin a
la gestin de cualquier proceso: "Si no lo puedes
medir. no lo podrs gestionar".
MEJORA CONTINUA
El proceso de mejora continua es un concepto
que pretende mejorar los productos. servicios
y procesos en todos los niveles de una compa
a. Al igual que los conceptos anteriores. este
debe ser implementado como actitud constante
por cualquier organizacin que desee alcanzar
objetivos ambiciosos. Formalmente. los siste
mas de gestin de calidad. las normas ISO y los
sistemas de evaluacin ambiental se utilizan para
alcanzar objetivos relacionados con la mejora
continua. Ms all de esto. no es necesario seguir
estrictamente estas guias para entrar en un ciclo
de mejoramiento permanente. pero son exce
lentes puntos de partida. En general. es posible
conseguir una mejora continua reduciendo la
complejidad y los puntos potenciales de fracaso:
mejorando la comunicacin. la automatizacin y
las herramientas. y colocando puntos de control
y salvaguardas para proteger la calidad de las
operaciones de una organizacin. Ms all de
 Informacin Tcnica

lllllllllllllll'l*ll'lll'l'l@llf'~~~~~~~-i
Web Server 1

Web Server 2 Informacin Gerencial

Database

Intranet 12

File Server 10

Access Server

que existen documentos y normativas rela
cionados con el proceso de mejora continua.
debemos lomar este concepto por lo que es
(un concepto). y aceptar que
' 'La metodologa
Flgura 15. Sobrela basede la Informacintecn/ca.
generalmenteobtenidade varias herramientas,
debemosgenerarreportessencll/os.enfocadosen la
gerencia.
Debemos saber tambin que. asf como no es
posible alcanzar la perfeccin tampoco es posible
lograr un ambiente 100% seguro. Simplemente.
esto es algo a lo que podemos aspirar a travs de
varios esfuerzos bien dirigidos. Pero cabe recordar

que nos lleve a un

que este es un trabajo constante. que nunca llega
a un final. porque siempre est persiguiendo una

proceso de mejora
perfeccin que no deja alcanzarse. Visto de otro
moda: la perfeccin siempre Intenta alejarse de

continua ser
nosotros. Depende de nuestras capacidades el
hecho de que podamos seguirle el paso. y mante

necesaria y debe
nernos siempre pisndole los talones
Es imperativo que tengamos la capacidad de man

ser bienvenida por

tener los procesos de nuestra organizacin al nivel
ms simplificado posible (KISS) y que seamos ca

la organizacin
Para esto. hay que seleccionar las metodologas
que mejor se adapten a las necesidades particu
lares de cada entorno
paces de medir los resultados dentro de una lnea
de tiempo (mtricas). Haciendo esto. tendremos las
herramientas necesarias para mejorar la calidad de
nuestros procesos constantemente (mejora conti
nua). La seguridad absoluta es algo imposible Ten
dremos que aprender a vivir con eso. Una vez que
g Figura 16. Seis
e; Sigma (o Six Sigma) Value Addition Defined
u
~ es una metodologla

~ ampliamente utilizada
para la mejora
fi' continua,quese vale
"'
e
<'
de herramientas
estadfstlcas para la
Reduce
Risk
;
::>

~
caracterizaciny el
estudio de losprocesos. P<0blm <-.?)< Rok ~

>
Focused socusec Pocueed
:'i
Many srnall Removlng Rlsk
'mp,mmool~ RwtC'"'" M'hgot'" /.

~~~u1~~~ ) u:~~~~~ 1 Suatalnablllty

Lose
waslage ( "~~~~" 'e Eoo"omy '<\
mereaeeo consisten! \ Ef~~~~e~c:sa
efflclency eutput

hayamos asimilado esta idea. podremos empezar a

pensar en acercarnos a la perfeccin, sabiendo que
nunca lograremos alcanzarla. El trabajo arduo y
constante nos llevar a perfeccionarnos. a mejorar
nuestras capacidades de respuesta y a predecir los
eventos que podrfan causar un impacto negativo
en nuestras organizaciones.
Esto es un entrenamiento que va ms all de
un curso o de un ttulo de grado: se consigue
con la experiencia cotidiana y con la capacidad
de mirar hacia atrs. para no volver a cometer
los errorespasados.y aventurarnosa cometer
errores nuevos. Siempre depende de nosotros
ser excelentes profesionales
PARA PONER A PRUEBA
1. Cules son las ventajas y desventajas de la
superespeclallzacln?
2. A qu hace referencia el principio KISS?
3. Cules son las ventajas de implementar
defensa en profundidad?
4. Es posible lograr que una organizacin sea
100% segura? Por qu?
S. Por qu son importantes las mtricas de
seguridad?
PARA APROVECHAR ESTE CAPITULO
REALIZAR EL EJERCICIO DE IDENTIFICACIN DE AMENAZAS Y VULNERABILIDADES. AUNQUE
SEA CON VALORES IMAGINARIOS. NOS SERVIRA COMO EXPERIENCIA

DESCARGAR LAS PLANTILLAS DE DOCUMENTOS DEL SANS INSTITUTE QUE SE MENCIONAN

COMO REFERENCIA. LEERLAS Y ANALIZARLAS. NOS DARAN UNA EXCELENTE IDEA DE CMO
REDACTAR MUY BUENOS DOCUMENTOS.

ACCEDER A LOS SITIOS WEB DE LAS ENTIDADES MENCIONADAS. TODAS CUENTAN CON EXCE
LENTES RECURSOS QUE NOS AYUDARAN EN NUESTRO PROCESO DE CAPACITACIN CONSTANTE.
1
'.
GESTIN
i DE LA SEGURIDAD
o

En este capitulo aprenderemos a: un administrador analizar configuraciones de

Objetivo 1 Comprenderel proceso de
gestin de la seguridad Informtica.
Objetlvo2 Entender lasresponsabllldadesque
tiene cada persona dentro de la organizacin.
sistemas y redes durante la mayor parte de su
tiempo. ambos deben conocer en su totalidad las
tareas por realizar. Para guiarnos en este proceso.

Objetivo 3 Saber cmo y por qu deben

''es
recomendable la
redactarse los documentosformales.

metodologa de
Obtetlvo4 Identificar tas amenazas,vulnerabl
lid a des y riesgos con los que nos enfrentamos.

La gestin de la seguridad es un proceso amplio. gestin de riesgos

informticos
que incluye rrucnsrras tareas de distinta ndole.
como la administracin de riesgos. el rrantenlmen

del NIST, que se

to de polticas, la claSificacin de la informacin y la
capacitacin de los miembros de la organizacin

encuentra detallada
Por eso nos encontramos con una profesin
tan apasionante. que demanda de nosotros una

gran variedad de conocimientos. Dentro de ella.
podremos encontrar varias especializaciones.
cada una de las cuales puede tener un foco
ms tcnico o ms administrativo. pero que
comparten los mismos fundamentos, los cuales
debemos conocer a la perfeccin si queremos
garantizar la eleccin e implementacin correcta
de las medidas de seguridad. La nica diferencia
que debe existir entre unos y otros profesionales
es el porcentaje de contacto que tendrn con
cada uno de los aspectos de la seguridad
Dado que un gerente pasar ms horas de su
jornada redactando y analizando polticas. y que
en el documento SP
80030
de aproximadamente cincuenta pginas. El texto
est escrito de un modo sencillo y presenta una
metodologa que no requiere demasiado tiempo
para poner en prctica. Est disponible para des
carga gratuita en el sitio oficial de dicho instituto.
y si bien no abarca todos los temas que loterve
nen en el proceso de gestin. es una excelente
guia de referencia y consulta.

Para ser excelentes profesionales, debemos
tener la capacidad de analizar todo el proce-
so de gestin de la seguridad. conociendo
todas las tareas que se realizan. aunque sea
de una manera superficial. Solo asf podre
mas tener una visin gfobal, que nos oe-
mi/ir optimizar nueslras aclividades para
alcanzar los objetivos de la organizacin
El National lnstltute of Standards and
Tecnology cuenta con una divisin especlali
zada en seguridad de ta informacin. de la cual
podremos obtener valiossimos documentos que
nos servirn como gua para nuestras actividades.
:::
Para conseguir ms informacin, podemos visitar ,..
su sitio web en csrc.nist.gov. o
8
Otra metodologa que puede sernos de gran
inters es OCTAVE. publicada por el CERT Coor
s
dination Center. de la Universidad de Carne
gie Melon. Se trata de una metodologa mucho
~
ms extensa. que cuenta con una versin para
pequeas y medianas empresas. conocida como
OCTAVES. Aun as esta ltima es mucho ms
grande que la SP 80030 del NIST. Como ambas
metodologfas son de libre descarga. queda en
nosotros elegir cul se adapta mejor a nuestras
necesidades. Dicho instituto tambin ha desarro
llado una certificacin enfocada en la respuesta
a incidentes de seguridad informtica (Certlfied
Computer Securlty fncident Handfer)

~:::~~.:::,:;""''"'" ...,.,..,

i omputer Secunty D1v1s1on..;;

~. :

'"'"''" cu < """"

"" " "~"

_
Computer Secunty Resource Center l"""'
IH.... ~ r,:f7 ._,.
"'""'''"'" ~"""
,,,
R,...
~, Figurat El National
lnstitute of Standards
OulckResources Groue!_ News and Technology
es una agencia de
la Administracin
de Tecnologla del
""""''""'"'"ll'>!Wpn!l!l!""'
Departamento de
=t::S0"P11n Comercio de los
Estados Unidos.

,......... l SOftwareEngineeringlllStitute
"'""e:
fCERT 1.:anwgleM~~lou

Figura2. En el sitio
web del CERT, adems
de la metodologfa
OCTAVEpodemos
encontrar una
gran cantidad
de informacin y
documentos de inters.
;;
o
<
o
ELAUTOCONOCIMIENTO
~ La importancia de conocernos a nosotros mis Muchas empresas pasan por a/to la tarea
~ mas y saber exactamente a qu debemos temer. de clasificar sus activos. pensando que ya
~
e;
es la clave para tener xito, no solo en la sequn conocen su infraestructura por el hecho
:::
z
dad informtica. Para remarcar la importancia de de estar en contacto con ella consterne-
o este tema. citaremos un fragmento del milenario mente. Este es un error muy comn. pero
libro Elartedelaguerra . de Sun Tzu grave. El primer paso. y requisito funda
~
N
5 conoces al enemigo y te conoces a ti mismo. no mental para la seguridad informtica. es
te pondrn en peligro ni cien batallas. Si no conoces conocer exactamente qu tenemos v
al enemigo. pero te conoces a ti mismo. perders cunto vale para nosotros.
una y ganars otra. Si no te conoces ni a ti ni al
enemigo, estars en peligro en todas las bateas',
podremos asignarles un valor a los activos que
la componen v. as. definir nuestra prioridades y
los recursos que vamos a invertir para proteger
cada uno de ellos. Debemos recordar que la tec
''Como noloqa no es otra cosa que una herramienta que

observamos,
simplifica tareas y optimiza procesos. Por eso. el
conocimiento de qu sistemas son importantes
a
conocernosa
para la organizacin est ligado estrechamente
los procesos de negocio. los cuales estn a cargo

nosotrosmismos
y los peligrosque
rondana nuestro
alrededores de vital
importanciapara
obtenerla victoriaen
la tarea de asegurar
informacin
8 Figura3. El arte de la derecha
~ Es por eso que. antes de pensar siquiera en
es un libro escrito
por Sun Tzu que trata sobre estrategias militares.
=> implementar medidas de seguridad. debemos Ha sido no solo utilizado para fines blicos, sino
~
D
w
tomar acciones para conocer a fondo nuestra tambin aplicado a varias reas de estudio, como la
41) infraestructura tecnolgica. De este modo, administracin de empresas
de los directivos y gerentes. Asi que. para deter
minar cules son los sistemas ms importantes,
tendremos que consultar a los altos mandos de
la organizacin. Por supuesto, como analizamos
anteriormente. las consultas a los directivos de
ben realizarse teniendo en cuenta el lenguaje de
nuestro interlocutor. por lo que tendremos que
hacerlas en una forma parecida a la siguiente
1 Cules son tas funciones principales del negocio?
2Cules son las tareas ms importantes dentro
de la organizacin?
3 Qu tareas no pueden interrumpirse?
4 Qu tareas pueden ser interrumpidas durante
muy poco tiempo?
5 Qu espera de SLJ infraestructura tecnolgica?
Esto nos da una idea del tipo de preguntas que
debemos realizar. ya sea a travs de cuesno
narios o de entrevistas personales. Con las
respuestas que obtengamos, podremos verificar
qu sistemas intervienen en cada uno de estos
procesos y. asi determinar la criticidad que tiene
cada activo para la organizacin.
Una vez que tengamos bien identificados los
procesos de negocio crticos. debemos pasar
a describir nuestra Infraestructura tecnolgica.
Para esto. podemos entrevistarnos con los encar
LBNL's Network ResearchGroup
Wolcomo to tho h<>mD p>;o o(~ Notwork Fl,QSIO>l'<lh c;roup (NFl.c;)or tilo 1 1(prm 1t1pn nnd cpm9111!nn5f19nrce
!)srkn!ovNntlpnnllnhnl'Al<>ry(lSNL1n~~
P05t and Pmsent Group St.aff
~cnow~tl.CJ.Bl
Q:o.l~JJ
~1nuwpnm1ilYllC1JlJ
VJn}JcobGon.c;rouploJdor1Jt~.1eof200lf
K9w111'aUCnnwatlntolRa&enrellin!larkeley)
Slavttu Mce~na~(m>W~LW!D
llut "'1ntWOtTY, ~11 <1ftll"' 01<1 ""'~11 ~""ru~A~ w!ll ~tlll wor~
N1!l.work HnsoHn:h Gn1up 1locu1111i11ls
Solo el 33% de las empresas
de Sudamrica cuenta con
un inventario que detalla en
qu lugares se almacena la
informacin
(Fuente:PWCGloba1StateoflnforrnationSecuritySurvey2011)
gados de las areas tcnicas. que la mantienen y
le dan soporte. ya sea personalmente o entre
gando cuestionarios. y analizando la documenta
cin existente. Los dalos importantes acerca de
la infraestructura tecnolgica sern:
Usuarios (tanto los que brindan soporte como
los que la utilizan).
Topologa de la red actual (diagramas de red).
Flujo de informacin (conexiones con otros
sistemas. Internos y externos)
Tareas del sector de IT (copias de seguridad.
mantenimiento, replicacin de datos. proce
dimientos para alta. baja y modificacin de
cuentas. etcj
Figura 4. Arpwatch (http://ee.lbl.gov Jes un software
de cdigo abierto que nos permite conocer los
cambios de direcciones en los dispositivos de nuestra
red. Es ideal para estar al tanto de nuevos equipos.
Qlylslpp (!CSO) 3tl..iLll:m.lJ.l:
i111;lu1l11:
 r..... ,.,.)<'.

1 :::::::::::

Figura 5. OCS lnventory es un software de cdigo abierto que nos permite mantener actualizado un Inventarlo
de software y hardware. Esto nos ser de mucha utflldad para generar el listado de activos al que luego vamos a
asignar prioridades.

Y para cada uno de los dispositivos registrados ,. lnormacin que almacena y/o procesa.
debemos tomar nota de: .. Personas que lo utilizan.

.. El propsito que cumple. Es de vital importancia poder conectar las res

Hardware y software. puestas obtenidas de la gerencia con el inventa
,. Configuraciones. ria de activos de informacin, para determinar

'i[ NETDISCO Network Management Tool

N..,_ll.,Opor,Sou-o.-.a.cnotmori<,,_...,ort1oolfhl-.d~ln2001.
lh911<ga1...,....,olugcoC01porotoa'll._My_1"1r.1-rotoraO.Coe-...lnlOa S.m,1ftO.:.,OM1'3;0j;44Glo!T(ol1..J1}
Po.ir"*'uSl.'IA>Allllpr*11o<llhlrifaco"""PIJ.lmn "'"''""''"""do\o.,...1,,......,,~"l"""'"'ool"-""lf0<n..i....,.,~
lu~n;1-i...R.;iu1 ..... ui.,...,i.,..... xi1w,01.)!!"'"~"'"'.i.."'1o,1P
_..,.,.....sa.._,.,_.,...,~
coni;.,alionlrlorm"1i0n""'"'rn.11111r1<norw:11<d"'wr_._~SNW>.O..li
~~l""""Wpr_....., .. cw.,., fil:~~"'"""
~,,........"""""'-,.orlho-lOl>Olo(/ ll.. ooomooll~l--foo!No

..~
Rohutdotl'li,toJw\00090<:,?."6CM1'bJO'W'b.>M<
~""101 ... ~0fllho.-od<byW.C1<rordo110Wll>t...td>po<1N ...... ll. lnduilw~i., rnM1~ .~..ur.:i(;r.i3~om, 1.Yls~to
. ln-orri'<11'<nD<M:lwOw3'obfm<l<lll
'"'""'""'"'""~., .. h...__...,""l'll"'l .. "'"""
-.wld.-.l.lirmword-01o,1
d.m)

R.porlonP_...,...,.,..1.,,port""'9'1':~rd<U'l'< d~ldwlnarNlodlh"lorLLDPlooupportCDl'utl!o<1
l'o111typlc<ur01)'00- Thu.05M1r>oao7.1.ooooo
db.illwinco .. \od1hoffo1LWP>0-tCllrn.t .. ,
Nodll:Ototoo1Udolo,i'Qdr,topoloffh'~"..tri$N>.f'pollon00N$qJ-'---
'*"""CU"""'""<l... no~I .. .,.....~

Figura 6. Netdrscc (www.netdisco.org) es un software de cdigo abierto que mantiene un inventario de los
dispositivos de red existentes. Puede detectar nuevos dispositivos a travs de SNMP, CDP y LLDP.
qu sistemas intervienen en el desarrollo de cada
uno de los procesos de negocio identificados
como crticos. Con todos estos datos a nuestra
disposicin. estaremos en condiciones de armar
una tabla de activos y prioridades. la cual vamos
a necesitar para completar las siguientes etapas
del proceso de gestin.
ANLISIS CUALITATIVO VS.
CUANTITATIVO
Al clasificar cada activo de la organizacin. nues
tro principal objetivo ser asignarle un valor. que
refleje la importancia que tiene para nosotros.
Para esto, existen dos tipos de anlisis: el cuanti
tattvo. en el que asignamos valores monetarios
a cada uno de nuestros acuvos y el cualitativo.
en el cual nos basamos en valores de una escala
(por ejemplo. de 1 a 10) para reflejar la importan
cia que le otorgamos a cada uno.
Cada mtodo liene sus ventajas y desventajas.
Podemos destacar. rpidamente. que los anlisis
cuantitativos son ms exactos y ms fciles de
entender por la gerencia. pero requieren un
Cualitativo
Ventajas
Requiere clculos simples.
Es fcil de mantener
Lleva menos tiempo de elaboracin
Desventajas
Los resultados son bsicamente subjetivos.
No podemos obtener valores monetarios.
No existen estndares publicados.
Figura7. En el diagrama analizamos brevemente las ventajas y desventajas de cada uno de los
sistemas de valoracin.
trabajo muchsimo mayor y una gran cantidad
de clculos. Por su parte. los cualitativos se basan
ms en la percepcin de necesidad que tienen
las personas sobre un activo. lo que los vuelve
mucho ms sencillos de realizar y, si bien pueden
ser no tan exactos. conforman una excelente
fuente de informacin para la toma de decislo
nes. El tipo de anlisis que vayamos a utilizar
depender de cada uno de nosotros. segn
nuestros recursos y necesidades. En la mayora
de los casos. bastar con un anlisis cualitativo.
que nos permitir conocer los valores de nues
tros activos para poder asignarles prioridades
Como expertos en
seguridad, sacaremos
ms provecho a la lista
ordenada de mayor a
menor de los activos ms
importantes, que al valor
de estos en s
vs. Cuantitativo
Ventajas
Permite un mejor anlisis costobeneficio.
Es ms entendible por la gerencia.
Puede automatizarse.
Desventajas
Los clculos son mucho ms complejos.
Sin automatizacin, es muy complicado.
Se necesita mucho trabajo previo.
No existen estndares publicados.
Dicha lista nos permitir analizar sobre qu o ms controles. En nuestro ejemplo. la vulnera
activos debemos trabajar primero y asignarles bilidad es la ausencia de antivirus.
ms recursos.
Amenaza: es cualquier peligro potencial sobre

AMENAZAS Y la informacin y/o los sistemas. La amenaza

VULNERABILIDADES
Cuando hablamos de gestin de la seguridad.
es muy frecuente el uso de ciertos trminos
que. a veces. se intercambian incorrectamente y
suelen prestarse a confusin. Aqu analizaremos
con brevedad cada uno de ellos. tomando como
ejemplo la situacin de contar con una estacin
de trabajo que no uene un antivirus instalado.
Vulnerabilidad: es una debilidad en algn
software. hardware o procedimiento que puede
permitir a un atacante realizar acciones que.
normalmente. no tiene permitidas. En general.
tiene como rafz la ausencia o la debilidad en uno
es alguien o algo que aprovecha una vulnera
bilidad existente y la utiliza para provocar un
dao. Puede ser de tipo no intencional (como
errores humanos. tornados. terremotos, etc.) o
intencional eaoers. empleados furiosos. etcj En
nuestro ejemplo. la amenaza es el virus
Exposicin: se refiere al impacto negativo que
podramos llegar a sufrir en caso de que fa
vulnerabilidad fuera explotada. El trmino "ex
posicin" hace referencia al dao "probable".
Cuando este dao se vuelve real. se lo conoce
como "impacto. En nuestro ejemplo, esta
mos expuestos a que la estacin se Infecte y
suframos la prdida y/o corrupcin de datos.
adems de su mal funcionamiento

LSA Shell (E><port \lers1on) .e

LSA Shell (Export Version) has encountered a problem

and needs to close. We are :s:orr.v for the inconvenience.

lf you were in the middle of something, the information you were wmking on
might be lost.

Please tell Microsoft about this problem.

We heve created an error report that you can send to help us improve
LSA Shell (Exporl Veision]. We will lreal this report as conlidenlral and
enonymous.

To see whal dala lhis error reporl conlains, click here.

! s.end Error Reporl l l[Qii6'fS~~~J

Figura 9. Podemos observar un mensaje emitido por un virus, que intenta tomar interaccin del usuario al
presentar caractersticas muy similares a las de los mensajes emitidos por el sistema operativo.
Riesgo: es es el resultado de analizar la vulnera
bilidad. la amenaza. la exposicin y la probabilidad
de explotacin. En nuestro ejemplo. el riesgo es la
probabilidad de que el virus infecte a la estacin de
trabajo. Suele categorizarse en bajo. medio o eltc
Contramedlda: se utiliza para mitigar los riesgos.
Puede ser una configuracin de software. un
dispositivo o un procedimiento que elimine la
vulnerabilidad o reduzca el riesgo de ocurren
cia de que un agente de ataque explote dicha
vulnerabilidad. En nuestro ejemplo, la ccotrarre
dida podrfa ser instalar un antivirus. accin que
En las organizaciones que se inician en
el proceso de gestin de fa seguridad. es
recomendable utilizar un anfisis cualitativo
y asignar un nico valor a ta importancia de
cada activo. Una vez hecho esto, tenemos
la opcin de volvemos ms minuciosos y
pasar a un anlisis cuantitativo.
mitigara el riesgo de una infeccin de virus.
El grfico de la Figura 11 explica la relacin entre
cada uno de esros conceptos

Status ] Sc11n Log Report J H11lp

AeH;moSoMSI""'- ~
Cuuentstalus: ON
Lasl file scemed C:\doc~1rnents endsellings\all users\starl menu\prog111ms\gemes\inlemet 1eveisi.lnk
[
Lest tbreetfound;

ReeHime Sean Statislics

[ Fie scerned 30524 lnfecledfiles:

Secu1ityPro\ectionStalus~
Cuuenl Locetion: Out of Office Behevior Mon~o1ing: ON
PersonalFirewall: OFF IMcontentliltering: OFF
Web Reputation: ON WiFiProteclion OFF
Outbreak PteventjonPolicy Mode: OFF
URL Filtering OFF
POP3 mahcan: OFF

LastUpda1e;:::======::::;,
Lest Updete. 5/2512011 Betletesl updele,..

Figura 10. En la figura podemos ver en accin la herramienta antimalware TrendMicro. la cual es implementada
como una medida de proteccin contra virus y otros tipos de malware.
 Vulnerabilidad Contra medida

Explotada por Mitigable por

genera representa
Amenaza Exposicin Riesgo

Figura 11. Proceso detallado acerca de cmo una

vulnerabilidad puede causar problemas y cmo
debemos mitigarla a travs de contramed/das

''Una
vulnerabilidad
Citando el ejemplo: "La ausencia de un antivirus en
una estacin de trabajO podr(a ser explotada par

puede ser
un virus. lo cual la expone a ser infectada y perder
sus datos. Esto representa un alto riesgo para ella.

explotada por una

que puede ser mitigado instalando un antivirus.
Aclarados estos trminos. nuestra siguiente tarea
es identificarcules son las amenazasque po
amenaza, hecho drtan impactar sobre nuestros activos. Debemos

que generara
considerar amenazas tanto fsicas como lgicas.
y tanto intencionales como accidentales. Algu

un cierto
nas de las ms comunes son los hackers. los
empleados descontentos y la competencia

grado de
Para esto. podemos desarrollar una tabla
con las amenazas ms probables. a fin

exposicin.
de contar con un listado que nos per
mita tener una buena visin acerca

Esto
de cules son los peligros con los

representa
un riesgo,
que es mitigable
que se nos ocurran. para. luego. ir descartando
las que sean muy poco probables o no se apli

a travs de
quen a nuestro entorno. Una vez que tengamos
identificadas las principales amenazas. podemos

contramedidas
empezar a trabater sobre ellas. dejando las otras
para siguientes repeticiones del proceso.
 11
=:
-1 Intencionales No intencionales

Hackers Fallas de sistema

Malware Empleados
Empleados descontentos (errores de uso)

Ataques terroristas Inundaciones

Empleados descontentos Terremotos
Fallas de hardware

Figura 12. En la Imagen vemos una tabla con las pos/bles

amenazasa lascualesse enfrentauna organizacin.
Depender de cada situacin particular si algunas de ellas
se aplicano no, pero estalistasirvepara teneruna Ideade
cmo confeccionar nuestra propia tabla

Tanto por experiencia profesional como a

parlir del resultado de varias esuatacss.
podemos observar que una gran parte de

''Lo importante
los incidentes de seguridad son iniciados
a travs de accidentes. taifas o acciones

es ponermanos a
no intencionales. Estos errores son muy
comunes.sobre todo. por parle de usua-

la obra y ; luego,
rios inexpertos o en enlomas en Jos que
se realizan tareas muy complejas. Por lo

con el tiempo,
tan/o. debemos considerar que este Upo
de acciones es tan importante como los

iremos
ataques de hackers. y ubicarlas en las ta-
blas de posibles amenazas. En estos casos.

mejorando la contramedida ms efectiva es realizar

capacilaciones constan/es. que servi

sobre la
rdn para entrenar a los usuarios acerca
de cmo deben utilizar los sistemas.

marchay a
y para generar conciencia acerca de
que el uso inadecuado de estos puede

partirde la
impactar negativamente en la organi
zacin Ademds. debemos esforzarnos

experiencia
por que los sistemas implemenlados
sean intuitivos y que adviertan
al usuario antes de permitirle
realizar acciones que ooastsn e
causar daf'los en el sistema.
una vez que hayamos completado la tabla de
amenazas. procederemos a investigar qu vul
nerabilidades tenemos en nuestros sistemas.
Ya sea a travs del anlisis minucioso de las
configuraciones. el uso de herramientas auto
matizadas o cualquier otro mtodo. obtendr
mos una lista de cada uno de los activos. con
las vulnerabilidades que presenta. Es necese
rio emplear varios mtodos para recabar este
tipo de informacin. como analizar configura
ciones. leer manuales y utilizar herramientas
automatizadas. pero debemos saber que es
necesario unificar estos datos. para trabajarlos
de manera adecuada.
Para poder hacer uso de toda la informacin
recolectada. deberemos ordenarla con el lin
de poder realizar comparaciones y filtrados
Esto puede lograrse a travs de herramientas
especializadas. la creacin de alguna pequea
Figura 13. En la Imagen vemos un llstado de
vulnerabilidades conocidas por activo, y las
amenazas que podrfan aprovecharlas para
causar daos.
.....
Algunas de las herramientas gratuitas que
podemos utilizar para automatizar la bsque-
da de vulnerabilidades son: Open VAS (www.
Nexpose Communlty Edltlon.
openvas.org);
de los mismos creadores de Metasplolt
Framework (www.rapld7.com): y Microsoft
Base/In e Securlty Analyzer. que sirve solo
para plataformas Microsoft.
(www.mlcrosoft.com).
herramienta con una base de datos relacional
o haciendo un uso exhaustivo de planillas
de clculo. Lo importante de contar con una
tabla de activos con vulnerabilidades expic
tables es que nos garantiza la capacidad de
asignarles prioridad a aquellos que corren
ms peligro. Utilizaremos esta tabla en el
siguiente paso
Como final del procesode identificacin.obten
carnes una tabla con IOS nivelesde riesgoque
tiene cadaactivo.sobre la basede cadauna de las
vulnerabilidadesque posee. Con esto. cocernos

Activo Vulnerabilidad Amenaza probable

1 11 11 1
Estaciones Fallas de antivirus Malware
de trabajo Puertos USB sin restricciones Usuarios descontentos
Usuario Guest habilitado Hackers
1 1

Servidores Firewall deshabilitado Hackers

Sistema operativo Hackers
desactualizado Malware
Sin copias de respaldo Usuarios descontentos
de los datos Falla de hardware

Router Telnet habilitado Hackers

externo Falta de redundancia Falla de
de hardware hardware
ACL No definirs Hackers
~

Th., wo<ld'~mostHl'li1>nced
o,,.,,. Sour<e vulne~blllty ~~~"""'
Figura 14. Este
proyecto de cdigo
abierto est basado en
ef cdigo de Nessus e
intenta Henar el vecto
que este dej cuando
pas a ser totalmente
software privativo. Es
un excelente proyecto
que cuenta con muchos
usuarios y posibilidades
de integracin con
otras herramientas.
(www.openvas.org).

identificar rpidamente a qu acciones dar pro ucos (sobre todo. cuando disponemos de metes
rielad y recursos cuanto antes. Este tipo de tablas activos). Es por eso que es ampliamente recomen
requiere una buena cantidad de clculos materna dable automatizar el proceso de algn modo.

~~I I~ ... ~~

D DD8D
Servidor Sin copias Falla de
de archivos de seguridad hardware
Empleados
(error de uso)
Empleados
desontentos

Servidor
de correo []Software
desactualizado
Sin copias
de segundad
Hackers
Falla de
hardware [][]~[] 3 75 75

Estaciones
de trabajo
~-Sinantivirus
Sin copias
de segundad
Malware
Falla de
hardware
CJCJC8C8 2 30 30

Impresoras y
escneres
DAdminsin
password
Usuarios
descontentos
CJD[JD
Escala de valores:Muy alta (5), Alta (4), Media(3), Baja (2)y Muy baja (1).

Figura 15. En la tabla podemos ver que la mayor necesidad es Ja de implementar un sistema de copias de
seguridad para el servidor de archivos, que tambin podrlamos utilizar para el servidor de correo. Adems, habr
que instalar antivirus en las estaciones de trabajo y actualizar el servidor de correo. Las frmulas aqu utilizadas
son muy tiles y recomendables para un anlisis cualitativo.
 IMPLEMENTACIN DE
CONTROLES
' ' No podemos,
simplemente,barrer
Una vez que tenemos identificados los nes.
gos. debemos hacer algo con ellos. En caso

los riesgosdebajo
contrario. todo el esfuerzo realizado hasta el
momento ser en vano.
As que tenemos que elegir cmo vamos
a reaccionar ante cada uno de los riesgos v. de la alfombray
hacer como si nada
para eso. necesitamos hacer un anlisis de
costo/beneficio a fin de determinar cul ser la
mejor manera de actuar en cada caso. Pode
mos optar entre cuatro posibilidades. que son: hubierasucedido
Mitigar: implementar medidas para reducir o Figura 16. La encuesta rea/Izada por PWC
eliminar un riesgo. Por ejemplo. para reducir en 2011 muestra los cambios en los motivos
el riesgo de una Infeccinpor virus. podemos de Inversin en seguridad Informtica de los
instalar un software antivirus ltlmos cuatro arios.

PWC Global State of lnformatlon Securlty Survey 2011

Motivo/ Ao 2007 2008 2009 2010 Diferencia

Requerimiento
34% 31% 34% 41% +21%
del cliente

Prctica comn
42% 37% 34% 38% 10%
de la industria

Posible impacto
30% 27% 26% 27% 10%
en los ingresos

Juicio 11%
45% 46% 40% 40%
profesional

Reducir el ndice 17%

36% 31% 31% 30%
de riesgo

8 Evitar responsabi
~ dades legales
49% 40% 37% 38% 22%

=> Marco regutatcno

~
D
w 58% 47% 43% 43% 26%
o legal
!@
Transferir: para transferir un riesgo a otra
organizacin. generalmente podemos con
tratar un seguro para el activo que quere
mas proteger. Por ejemplo. para transferir el
riesgo de que un dispositivo sufra una falla
de hardware, podemos extender su garanta.
y as asegurarnos un reemplazo de partes. Ob
viamente. esto no nos protege de una prdida
de informacin o de caldas de servicio. por lo
cual debemos tener mucho cuidado al anali
zar qu riesgo estamos transfiriendo.
Evadir: cuando hablamos de evadir un riesgo,
estamos haciendo referencia a eliminar la
fuente que lo produce.
Esto quiere decir que preferimos dejar de
utilizar un activo o proceso con tal de no
sufrir los riesgos asociados a l. Por ejemplo.
para evadir los riesgos que conlleva el uso de
software de mensajera instantnea. podemos
optar por bloquear su implementacin.
Aceptar:este es el ltimo recurso y debe ser
utilizado solo cuando no podamos optar por
ninguna otra alternativa. Cuando hablamos de
aceptar un riesgo. estamos diciendo que ten
dremos que convivir con l. porque no resulta
rentable implementar medidas de seguridad.
pero de todos modos necesitamos la fuente
que lo produce. Debemos tratar de mantener
los riesgos aceptados en la menor cantidad
posible. De todas estas opciones. siempre
debemos tener en mente la mitigacin
como primera medida. Y solo cuando esta
sea impracticable o ineficiente. deberemos
considerar alguna de las otras mencionadas
anteriormente.
Recordemos que los riesgos van a estar ah
aun cuando intentemos mirar hacia otro lado.
as que es mucho mejor hacerles frente de
manera temprana. que despus sufrir las con
secuencias de no haberles dado la importan
cia que se merecan
Cuando aceptamos un riesgo. esto implica
que alguien debe hacerse responsable de
esa decisin y de fas consecuencias que
pueda llegar a traer haberlo aceptado. Es
por eso que se deben considerar cuidado-
samente las otras lres a/lemativas. antes de
aceptar un riesgo. Si. a pesar de todo. se
decide eceoumo. es ampliamenle recomen-
dable exigir la firma de un documento por
parle de la gerencia para cada caso esoect
neo. Esto permite dejar en claro los peligros
a los cuales nos exponemos por hacer esto.
y nos da la posibilidad de no caer en faltas
que. fuego. pueden ser muy perjudiciales
para nuestro /rabaJo. Tambin debemos
recordar que la decisin de no invertir
recursos en mitigar un riesgo. y exponer
a fa organizacin a la posibilidad de sufrir
un impacto neqeuvo: debe recaer pura y
exclusivamente en la a/la gerencia. por se
esta la nica verdaderamenle capacitada
para lomar este tipo de decisiones. que. en
la mayorfa de estos
casos. dependen ~
demO{/VOS 111":
econmicos. ... --.;:
l
t
)
 Ventajas
*:l'**iii**l""**M"*
Permite un buen Suele ser una Permite resolver Es Ja opcin ms
balance entre opcin econmica. rpido un econmica.
seguridad y Puede ser de problema.
D funcionalidad. rpida implemen
z Nos permite tener tacin.
o un mejor control.
~o Es la solucin ms
personalizable.
Es la solucin
mejor vista en las
auditoras.

Desventajas Puede requerir No siempre es No siempre Al final, puede

investigacin aplicable. podemos hacerlo serla ms
y adquisicin de Podra hacernos Puede tener costosa
soluciones. perder un costo muy En cierta forma.
Puede tardar funcionalidad. elevado. nos estamos
bastante tiempo dando por
en implementarse. vencidos.
No siempre
podemos hacerlo.
No es bien visto
en las auditoras.

Figura 17. La tabla muestra una comparativa de las cuatro opciones que tenemos para l!dlar con los riesgos,
destacando las principales ventajas y desventajas de cada una.

POLTICAS Y OTROS de tareas. A continuacin. analizaremos los

DOCUMENTOS
Como analizamos en pginas anteriores. es nece
sario contar con un enfoque que va desde arriba
hacia abajo. empezando por la alta direccin y
bajando por todos los niveles jerrquicos. Este
enfoque ser menos especifico en los niveles
ms altos. y aumentar su complejidad y sosu
cacln a medida que vayamos descendiendo
Es preciso tener en cuenta que la seguridad
de una organizacin va muchsimo ms all de
una regla en un ftrewall o de la configuracin
de un sistema de prevencin de intrusos. lnclu
so. si bien estas son cuestiones que afectan a
la seguridad. terminan siendo el resultado de
un anlisis que se inicia al escribir los occu
mentas que servirn como gua para este tipo
distintos tipos de documentos con los que
debemos contar. y daremos recomendaciones
al elaborar cada uno de ellos
POLITICAS
Son los documentos que explican las bases
sobre las cuales la organizacin realiza sus tareas
y busca cumplir sus objetivos. No tratan ningn
tema en profundidad: al contrario. son una refe
rencia a la misin y la visin a travs de las cuales
debe guiarse cada uno de los miembros
Tienen que estar escritas o, por lo menos. ava
ladas por la alta gerencia.debido a QL1e explican
la postura de la organizacin con respecto a la
seguridad. y estn basadas en los objetivos del
negocio. Tambinse deben tener presenteslas
leyes. los estndaresy las reglamentacionesa los
cuales la organizacindebe atenerse
 Figura 18. En et sitio I
,J fJ!I ""~
web del SANS lnstitute
"llocd.JSUISlllod.JSUIS ia'""""''"s.w ..
podemos encontrar ~
~
plantillas y guias que
nos harn mucho ms
o
o
fcil la redaccin de

~
. .~
_.,, ., . ,_,.,,..~ ,..., .
lnformation Secunty Pchcv Templetes
.. .....,.,,,.,
...... ,b~~ .
nuestros documentos.
Aunque estn Ingls,
son un excelente punto

>
de partida (www. <J
=
sans.org/securlty :J
:i'

resources/policlesl.

lf 1 l'iiiji

Cada vez que la organizacin es modificada de

aigu na manera significativa. dichas conreas de
Si esperamos que los empleados de una ben ser revisadas y cambiadas de forma acorde.
organizacin sigan al pie de Ja letra lo aue Tambin deben ser peridicamente revisadas
dicta la oouuce de seguridad. es necesario para realizar las optimizaciones o correcciones
que hagamos accesible este documento a correspondientes. Por eso. debemos escribirlas
todos ellos. para que lengan la posibilidad de manera generalizada. con el objetivo de no
de consultarlo cuando lo crean oportu- tener que modificarlas constantemenle
no. Tambin es muy recomendable que Es recomendable que estos documentos estn
cada miembro de la organizacin acepte redactados en rorma sencilla y fcilmente enten
formalmenle esta oounce. dible. para ser usados como punto de referencia
par cualquier empleado de la organizacin. Es

Figura 19. En el sitio

Ccolcrforlntcni~l Security
web del Center for
Internet securttv
encontraremos. entre
otras cosas, estndares

-=:m: =-1----1
recomendados para
1..i.,,,,...,,..,,..,,,,.,~ .... la configuracin de
..~... ~ """''""! ~.. " .... _,.,. '!!""" ~
nuestros sistemas
,j operativos y
Sg:~~r:!~ f1'1~"!!:~ W;;tt:ce dispositivos de redes
m:.e.i"!..,.:...11,.~J .. la .. _too~.l>\>.J,.l><:ti_I"""-J":t"" 1 g~~Q .. (www.cisecurlty.org).
~o
< Procedimientos
~
~
:5
~
8
~ Figura 20. Debemos respetar el orden en el cual generamos los documentos que guiarn nuestras tareas. Es un
proceso lineal, en el cual cada documento se basa y nutre de los contenidos del anterior. Este orden nos ahorrar
e> tiempo y nos permitira desarrollar documentos de calidad.

aspectos especficos. la principal y mas general

Es una buena idea tomar las bases de
normativas. estndares y recomendacio-
nes ya avalados por entidades reconoci-
das para formular nuestros documentos.
Esto nos perm!lfr disponer de contenido
ampliamente revisado y desarrollado por
expertos en fa materia. Luego. podremos
adaptarlos a tas necesidades parlicufares
de nuestre organizacin
preciso remarcar la importancia que tienen v
aclarar siempre las obligaciones de cada uno
de los empleados. utilizando el modo impe
rativo (trminos como "tiene/debe" en vez de
"tenerla/deberla").
Cada uno de los empleados debe saber que esta
poltica explica lo que la organizacin espera de
ellos. Por consiguiente. la violacin a los concep
tos que dicha poltica explica. podra (y debera)
implicar la aplicacin de sanciones
Si bien pueden existir varias polticas que cubran
suele ser llamada "polltica de seguridad de la
lnforrnadn" Otras podran estar destinadas a te
mas como: "uso de Internet y correo electrnico".
"informacin confidencial", etc. Como las oomces
deben escribirse desde un punto de vista global.
es necesaria la Independencia de cualquier
tecnologa o producto especfico.
ESTNDARES
Estos documentos explican en qu forma van a
ser alcanzados los obleuvos propuestos por la
organizacin en cuanto a aspectos de seguridad.
Dictan de qu manera deben ser encarados los
problemas y cmo tomar las decisiones.
Muchas veces. suelen ser documentos genera
dos por entidades externas y que son Lomados
por las organizaciones. va sea en parte o en
su totalidad. En estos documentos podemos
empezar a hablar de tecnologas especificas
Flgura:Z1. La tabla muestra las principales
caracterfsticas de cada uno de los distintos
documentos aqui mencionados.

Polticas Estndares Procedimientos

Basadas en la visin y misin
de la empresa.
Redactadas o avaladas por
la alta gerencia.
Independientes de cualquier
tecnologa o producto.
aenejen las tcticas de la
organizacin.
Hablan de tecnologas, pero
no de productos.
Pueden estar basados en
estndares externos.
Detallan paso a paso cmo
se realizan las tareas.
Son especficos en cuanto
a productos y versiones.
Deben ser actualizados
con frecuencia.
(algoritmos de encrotaon sistemasoperativos.
arquitecturas de hardware. etc} Pero debemos
hacerlo de un modo general. sin adentrarnos en
el nombramiento de versionesespecficas ni en
otros detalles que dejaremos para los siguientes
documentos.Con este tipo de documentos
vamos a reflejar las tcticas de la organizacin.
que estarn derivadas de la estrategia (lo que
reflejan las polticas} Es importanteque preste
mos mucha atencin al redactar un estndar o
tomar uno externo.debido a que necesitaremos
verificar que este se encuentre alineado con ta
poltica y que sea una buena base para la reoac
cin de los procedimientos.
PROCEDIMIENTOS
Derivan de los estancares.y son los documentos
que se encuentran en el nivel ms prctico de to
dos. Estosignifica que van a ser bien detallados.
como guias paso a paso. que expliquen cmo
realizar las tareas.
Son los documentosque ms se modifican. debi
do a que la tecnologfasuele cambiar. y las nuevas
versiones de los productos que utilizamos segu
ramente se instalarn y administrarn de manera
diferente de sus predecesores.
En este caso debemos ser lo mas esoeocos
posible. pensando en que un procedimiento
debera permitir que una persona que no
contara con una vasta experiencia realizara la
tarea mencionada sin mayores inconvenien
tes. Esto tambin nos servir de gran ayuda
cuando necesitemos hacer un reemplazo.
debido a la partida de un integrante.o a una
ausencia. ya sea por vacaciones. enfermedad
o cualquier otro motivo
La tarea de mantener actualizados los proce
dimientos debe ser constante.y tenemosque
asegurarnos de marcar bien cul es la ltima
versin del documento. debido a que. en muchas
ocasiones.puede ocurrir que existan varias ver
sienes.y esto generar muchsima confusin.
Tanto para los procedimientos.como para los
estndares y las polticas. consideremos utilizar
un repositorio conocido por todos los miem
bros de la organizacin. que est bien ordena
do y nos permita realizar controles de acceso
Esto nos dar la posibilidad de optimizar las
tareas de mantenimiento.evitar confusiones y
garantizar un mejor sequlrniento con el correr
del tiempo. Adems. muchos procedimientos
podrian llegar a contener informacin que no
es recomendable que sea conocida por todos
los integrantes de la organizacin. Por lo tanto.
un repositorio o servidor de archivos nos per
mitir definir permisos granulares. con el obie
tivo de restringir el acceso de los empleados
nicamente a los documentos que precisan
para realizar sus tareas correctamente.
RESPONSABILIDADES
La seguridad informtica tiene mucho que
ver con las responsabilidades.debido a que
nuestra tarea es proteger.
A veces nos olvidamos de esto porque lodo
marcha bien. y seguramente lo recordaremos
cuando haya algn problema y alguien tenga
que "pagar los platos rotos'. Una de nuestras
principales tareas es no solo ser responsables
de nuestros actos. sino tambin recordarles a
los dems que tambin tienen responsabilida
des que cumplir.
El trmino due diligence es et acto de
investigar y entender los riesgos con los
cuales se enfrenta una organizacin. Por
su parte. due care implica que fa organi-
zacin demuestra un compromiso con
la seguridad, implementando medidas.
redactando documentos y generando
conciencia en los empteeaoz. Estos dos
trminos san muy importantes.
 Desde la alta gerencia. hasta los empleados de
ms bajo rango. todos los integrantes de la orca

' ' Despus de

nizacn tienen distintas obligaciones que cumplir
y, tambin. son responsables de velar por los
todo, no podemos intereses comunes. Esto debe ser puesto en claro
desde un primer momento. para evitar contuso
pretender que una nes y malos entendidos que ms tarde puede ser
catastrficos. tanto para ta empresa como para
persona acte de las personas que la componen
En trrna instancia, la responsabilidad de cada
forma responsable una de las acciones que lleva a cabo una organi
zacin recae sobre sus directores. Es por eso que
si desconoce debemos tener en cuenta que. ms all de los
premios y castigos que puede recibir un emplea
cules son sus do. la mayora de tas veces quienes tienen que
responder ante la ley son los directores.
responsabilidades EL EQUIPO DE SEGURIDAD
que la organizacin Para lograr una implementacin correcta de las
medidas de seguridad. es necesario que cada
espera de ella organizacin cuente con un equipo designado a

Figura22. Algunas
normativas exigen
una determinada
estructura Ms/ca
para los equipos de
seguridad, como la
Oficial Analista
que podemos ver
de Seguridad de Seguridad
en la figura. Dentro
de ella, existen
distintos roles. para Ja

~
)(t.,p/howw"<0<0--'
separacinde tareas.
,. ..._."" [).(;"'}:;... ~Sl-<J...... ,..eon- ...... ~~"""a>S- )(Ml:
.,_, .......

~
Figura 23. El sitio web
de lnteco (www.inteco.
esJ es un excelente
recurso de informacin
para que nuestro
equipo de seguridad se
mantenga actualizado.

PC Security Test es una interesante apli-
cacin desarrollada para analizar la sequrl-
dad. Este programa se encarga de realizar
un anlisis muy rpido de la configura
en general del sistema para despus
en/regamos un completo informe con fa
descripcin de cada uno de los elementos
encontrados. Est en idioma espaol y
podemos descargarlo desde www.pcst.
com/es/index.htm.
mantenerlas. Dependiendo del tamao de cada
entidad. de sus capacidades econmicas y sus polf
ucas de seguridad. el equipo puede estar conforma
do por una (algo bastante solitario y decepciOnante)
o varias personas. El objetivo de este equipo es
coordinar y mantener las conreas. estndares. pro
cedimienlos y medidas de seguridad aplicadas. as
(!2]
olklr.a
d~~ee1.11ldad
d~llntcmaut;i
~""
@
~ CONOCEl.OS
~RIESGOS
difusi(!)n
Figura24. La oficina de seguridad del internauta es un excelente sitio para que los usuarios obtengan
informacin acerca de cmo protegerse en Internet. Tambin es un muy buen recurso para complementar las
capacitaciones que deben brindarse dentro de la organizacin
como tambin realizar peridicamente reviSiones y
auditoras. y aconsejar a la alta gerencia.
Adems. este equipo debe contar con colabo
radores designados de cada una de las princi
pales reas de la organizacin. Como tarea de
tiempo parcial. ellos intervendrn en ta asistencia
a reuniones peridicas, el reporte de estado. y
otros aspectos. El objetivo ltimo de este equipo
es garantizar que las medidas de seguridad se
implernentende manera efectiva
Si analizamos algunas de las normativas y las
formas de procedimiento de las empresas ms
grandes de los Estados Unidos y varios pases
de Europa. veremos que existen no uno. sino
varios equipos relacionados con la seguridad
informtica, como puede ser el de gestin de
riesgos. el de seguridad Informtica y el de res
puesta a incidentes. entre otros.
Esto es algo que no todas las empresas pueden
permitirse y. principalmente. que no todas las
.~~~~Q
Non:Wo11l l11ler111111l11')011111:.!1
-
$!\"
~!J;r AYUDAMOS
E)
~ l~'""""'~l
1 ~'"""""""'"'" l
 empresasnecesitan. Es por eso que tenemos
que analizar culesson nuestrasverdaderas
necesidadesy crear equipos sobre esa base. te
niendo en cuenta que una cantidad excesivade
equipos nos traer problemasde coordinacin y
o burocraciasinnecesarias
z
o La mavorte de las empresas puede cumplir
~o lodos sus requertrnietos con un equipo dedi
E! Departamento de Recursos Humanos es
el nexo entre fas miembros de fa organiza-
cin y la organizacin en sf misma. Como
interviene en tos procesos de contratacin,
modificacin de roles y despido. es im-
prescindible que se mantenga un contacto
nuao entre es/e depenemeruo y el equipo
de seguridad Informtica. De elfos depende
que este equipo est al tsruo de las cosas
antes de que sucedan. para poder tomar las
acciones correspondientes en tiempo y tor-
ma. Esto es de vital importancia en los casos
de despido. en los cuales se deben bloquear
inmediatamente todos los permisos de la
persona despedida. incluso. antes de que
esta se entere de que dejar de pertenecer
a la empresa. Esto le impedir realizar cual
quier accin malintencionada.
debido al descontento
que puede producirle la ridad bien presentes.
situacin. En los casos de
nuevas contrataciones. el
aviso previo al equipo de
nuevo integrante
pueda iniciar
sus tareas lo
antes posible.
cado exclusivamente a la seguridad informa
tica y con colaboradoresde cada uno de los
departamentos. Tambin debemos asegu
rarnos de que dicho equipo reciba capacita
ciones constantes.y cuente con los recursos
imprescindibles para llevar a cabo sus tareas
y mantenerse al tanto de lo que pasa en el
mundo de la tecnologa.
El 50% de las empresas
asegura que su personal
de IT no tiene el suficiente
conocimiento sobre
seguridad informtica
(Fuenle: Symantec 2010 SMB ntormetonProrecton Survey)
CAPACITACIN AL PERSONAL
Es bien sabido que el personal tcnico y
relacionado con la seguridad informtica debe
recibir un entrenamiento constante. para estar
actualizado en cuanto a las ltimas medidas
de seguridad y las nuevas tendencias
Pero no siempre se tiene en cuenta que la
seguridad informtica es un tema que abarca
a las organizaciones en su totalidad. y es por
eso que cada uno de sus miembros debe
tener las nociones y los fundamentos de segu
Muchas de las vulnerabilidades e incidentes de
seguridad ocurren por negligencia de los usua
rios. Pero esto no quiere decir que la culpa sea
de los propios usuarios,sino ms bien de los
responsablesde la organizacin. que no vieron
la importancia de capacitarlos correctamente.
Es por eso que debemos tener en cuenta
la necesidad de desarrollar un programa de
capacitaciones dirigido especficamente a los
usuarios finales. para educarlos y que sepan
exactamente cmo comportarse y reaccionar
ante cualquier actividad sospechosa
 Usuarios de Datos
Utilizar los datos solamente para su
propsito original.
Reportar cualquier actividad sospechosa.
Dueo de Datos
Definir en qu forma deben ser
protegidos los datos.
Asignar a los usuarios la menor cantidad
de provlleglos posibles.
Figura 25. En el grfico podemos ver las responsabllldades ms Importantes de cada uno de los roles
explicados. Debemos tener en cuenta que absolutamente todos los integrantes son usuarios de datos, aun
cuando tengan otros roles adiciona/es (recursos humanos, dueos
La forma ms efectiva de brindar estas ca
pacitaciones es ponerlas a disposicin de los
usuarios de manera online. y hacer que. luego.
ellos tengan que rendir un pequeo examen
de preguntas al azar. para demostrar que han
prestado atencin al contenido visto y estar
seguros de que lo han entendido.
Tambin es bueno enviar noticias y consejos
de seguridad oenodtcarnente. no tanto con
la esperanza de que los empleados los sigan
al pie de la letra, sino para que nos tengan
presentes en todo momento y sepan que
estamos para ayudarlos
Un intruso en un aeucentei. incluso no
pudiendo acceder a sistemas operativos
y consolas de operacin, puede atentar
contra la disponibilidad desconectando
eememos de red y servidores. o realizar
otras acciones maliciosas. como el apaga-
do de sistemas de refrigeracin.
Recursos humanos
Mantener informado constatemente
al equipo de seguridad.
Notificar cualqueit contratacin o despido
antes de realizarla.
Custodios de Datos
Implementar y controlar las medidas
de proteccin de tos datos.
Asistir a los usuarios y dueos en las
responsabilidades.
o custodios de datos).
Ms del 70% de las
empresas invierte menos
del 5% del presupuesto de
seguridad en capacitacina
usuarios
(Fuente:CSISurvey2009)
DUEIIOS,CUSTODIOSY USUARIOS
DE DATOS
Si bien la informacin en su totalidad pertenece a
la organizacin. es necesario que. para prote
gerla correctamente. sean asignados los roles
de dueos y custodios. Esto es as porque tiene
que existir alguien que dicte las formas en las
cuales se van a proteger los datos. y que se haga
responsable por lo que se hace con ellos.
En general. es una buena idea definir a los
dueos de datos basndonos en el departa
mento al cual pertenece dicha informacin
Por ejemplo. para los datos relacionados con
el marketing, podemos sealar rpidamente al
Gerente de Marketing como dueo. Esto hace G
que dicha persona tenga ciertas obligaciones y PARA PONER A PRUEBA
derechospor sobre esa inrorrnacln.quedeben 1. Cules son las ventajasy desventajasdel
ser impuestos por la alta gerencia. As sern anlisis cualitativo?
respetadosal pie de la letra y quedar clara la 2. zcomo se relaciona el nivel de riesgo con las
importancia de este tipo de responsabilidades amenazasy las vulnerabilidades?
La persona que tenga el rol de dueo de datos 3. zcuaes son las cuatro formas de responder
estar encargada de comunicar al equipo de ante un riesgo identificado?
seguridad informtica cmo debe ser protegi 4. Qu diferencias existen entre una poltica. un
da la informacin. y de explicar qu importan estndar y un procedimiento?
ca tiene esta para la organizacin y las tareas 5. Cules son las responsabilidadesde los due
que su departamento realiza. Adems. podr nos y custodios de datos?
definir qu usuarios accedern a dichos datos
y con qu permisos.
Los custodios de datos sern miembros del equi
po de seguridad Informtica. Estarn encargados
de asegurar que la Informacin sea tratada y
protegida de acuerdo con lo solicitado por sus
dueos. Tambin verificarn que los controles
funcionen correctamente y que no se violen
las polticas de seguridad definidas. Adems. se
ocuparn del mantenimiento de los permisos
asignados a los usuarios. eliminando los que
corresponda cuando alguien deja la organiza
cln y verificando que se quiten los que ya son
innecesarios cuando alguien cambia de sector o
se modifica su rol en la empresa.
Por otra parte. los usuarios tambin tienen una
responsabilidad muy importante, que es la de
utilizar los datos en forma correcta y sin malas
intenciones. cumpliendo con lo que dictan las
pollicas de seguridad. sin difundir datos confi
denciales ni realizar ninguna accin que pudiera
perjudicar de alguna manera a la empresa.
Tambin tienen la responsabilidad de denunciar
cualquier comportamiento sospechoso que
pueda tener alguno de sus corroaneros.
El hecho de que todos y cada uno de los mlern
bros de la organizacin cumplan correctamente
con sus responsabilidades es una de las bases
ms importantes para poder garantizar la orotec
con de la informacin
PARA APROVECHAR ESTE CAPITULO
LISTAR LA INFORMACIN QUE ESTAMOS RESPALDANDO Y VERIFICAR SI ES LA CORRECTA. ASI
COMO TAMBIEN CONTROLAR LA FORMA EN QUE LO HACEMOS.

IMPLEMENTAR ALGUNO DE LOS PROGRAMAS DE MONITOREO AQUI MENCIONADOS. AUNQUE

SEA SOLAMENTE EN UN AMBIENTE DE PRUEBAS

PENSAR EN QUE FORMA RESPONDERIAMOS ANTE UN EVENTO ADVERSO Y CUALES

VERDADERAMENTE MERECEN NUESTRA ATENCIN
CONTINUIDAD
DEL NEGOCIO
En este capitulo aprenderemos a:
ObJetlvo1Seleccionar qu datos respaldar y
de qu manera hacerlo.
Objetlvo2 Mantener el control de nuestra
Infraestructura a travs del monltoreo.
Objetlvo3 Estar preparados para responder
correctamente ante los eventos adversos.
Hasta ahora hemos analizado las tareas que
debemos llevar a cabo para prevenir o minimizar
las probabilidades de que nuestros sistemas
sufran algn impacto negativo. analizando ros
riesgos y tenindolos bajo control. Con estos
cuidados. ya tenemos la mitad de la batalla gana
da. Cul es la otra mitad? Saber qu debemos
hacer cuando las cosas malas suceden.
Parte de ser excelentes profesionales recae
en nuestra capacidad de estar al tanto de la
completa situacin de la Infraestructura y poder
conocer eventos futuros. Asl estaremos corn
p1etamente preparados y responderemos de la
mejor manera posible
A esto se lo conoce como "continuidad del ne
qocio". e implica tener la capacidad de hacer
resistente una organizacin: resistente a los
eventos adversos y a aquellas situaciones que
de no estar preparados. la haran desaparecer.
Esto no es poca cosa y. as como es difcil
garantizar la subsistencia financiera de una
empresa. es difcil garantizar la subsistencia de
los sistemas. Pero ahi se encuentra gran parte
de la diversin de nuestro trabajo: en la incer
tidumbre y los riesgos a los cuales tenemos
que hacer frente con frecuencia
Deberemos tener en cuenta una gran can
tidad de variables para poder realizar un
planeamiento correcto. Este es un proyecto
largo y complejo. que nos consumir un tiem
po considerable: claro que. si lo hacemos bien.
los resultados sern ms que sausrectorios. y
el nivel de seguridad de nuestra organizacin
aumentar notablemente
Las prdidas siempre van
a estar, al igual que los
accidentes y los ataques.
Queda en nosotros hacer
el mejor esfuerzo para que
este tipo de eventos nos
afecte lo menos posible
En las siguientes pginas analizaremos cmo
debemos realizar el planeamiento y la redac
cin de documentos correspondientes a la
continuidad del negocio de nuestra organi
zacln. Cada uno de estos pasos nos ser de
vital importancia. tanto en los momentos de
trabajo diario como en los de crisis. durante
los cuales deberemos saber exactamente qu
hacer y cmo lograrlo.
COPIAS DE RESPALDO
Dios se apiade de la persona responsable de
mantener las copias de seguridad si estas no
funcionan cuando se las necesita.
Como no es habitual tener la necesidad de
restaurar una copia de seguridad. las empre
sas suelen restarle importancia al proceso de
realizarlas.Al ser encargados de la seguridad.
esta es una de nuestras tareas: hacer que
todos los datos de valor para la organizacin

Una copia de seguridad sean respaldados regularmente. y que estos

respaldos sean probados en intervalos de
es como contratar un tiempo determinados

seguro mdico: esperamos Principalmente. debemos basarnos en el testimo

nio de los dueos de datos a la hora de definir
nunca tener que cada cunto realizar los backups y por cunto
tiempo almacenarlos. Adems. habr que tener
usarlo, pero si lo en cuenta las disposiciones legales y regulatorias.
necesitamos, que muchas veces exigen determinados criterios
de almacenamiento. Si no tenemos definidos
tiene que los dueos de dalos. tendremos que utilizar el
responder a la resultado de la clasificacin de activos. Y si no
hicimos la clasificacin de activos. podremos
perfeccin usar nuestra intuicin, to empezar a implementar
lo que aprendimos en el capltulo21

Figura 1. Para obtener ms Informacin sobre Bcula,

podemos entrar a su sftlo web: www.bacula.org.

Bacula@ The open sourceNetwork Backup Solutlon

l""~~lfoH<>IOl>tt'l--~l...,....ert~.-1.,l>'OO'...,.,,,
.... ,,.....,n~(ll><t",..,,_"'w)lem-bMlovr>,
""''""' M .muo elcompJtW4'1 Ofl<.. 'OMllOUI.,...,, doffortnf - ti
0....U I UIY'"UD ll>CI'"'""''
whlo<>ll'tmg.,...vld\'111aa1tor1;11_.....,.tr1111ru!hltmll:e1<1111ellnd1ndrte00orlo1torcllmooodNt1.lnta<twicllt.,,....H
.,.,0pon&curc,.,tovrtu .... .i,,,,,1w..n.i. ... ut.dwP1""W'""'

S&cul11Conferenc112010, YverdonlesBlllns, Swltzer111nd, Fortflefullreco11pandthepresent<>t1ons, pleasesee

tkefollowlng p11911: 8'Kula OeV<1IQJ!!!r'sConfel"lln<;<1.

Bncula.org and Bacula Systems: How to find what you

need.
 El 90% de las empresas
que sufren una prdida Algunasde las herramientas de cdigo

de datos importante abierto que pueden simplificamos el

desaparece del mercado en
dos aos
(Fuente: Cmara de Comercio de Londres, www.
ionconctemter.co.uq
Bacula es una herramienta para realizar copias
de seguridad. Es de cdigo abierto y mutlpla
taforma. Funciona con la arquitectura cliente/
servidor y nos permite instalar agentes en cada
uno de los equipos que queremos respaldar,
configurando varas opciones.
La seleccin del lugar en donde vamos a alma
cenar las copias de seguridad depender de
qu eventos adversos esperamos que puedan
suceder. Si queremos contemplar la posibilidad
de un incendio o una inundacin en nuestro
centro de datos. no serla nada inteligente alrnace
nar las copiasen ese mismo smo. Por lo general.
suele ser suficiente elegir un lugar que est en el
mismo edificio. pero le/os del centro de datos. y
protegido por una caja fuerte a prueba de calor.
proceso de realizar y mantener copias de
seguridad son Bacula (www.bacula.org).
Amanda (www.amanda.org) y BackupPC
(http://backuppc.sourceforge.netJ. Tambin
existeno/ras propietarias.como Acronis
(www.acronls.com). Arkeia (www.arkela.
com) y EMCNetworker (www.emc.com).
En otros casos. nos encontraremos ante la
necesidad de almacenarlos fuera del edificio
ya sea en un centro de datos alternativo o en
alguna otra ubicacin. Adems. es necesario que
verifiquemos peridicamente el funcionamiento
de los mtodos de recuperacin. No hace falta
probar cada una de las copias. pero sf tenemos
que seleccionar una al azar para hacerlo. Eso nos
dar la seguridad tanto de que los datos estn
ah como de que las herramientas empleadas
funcionan correctamente.
Como siempre. el uso de herramientas automa
tizadas nos permitir ahorrar horas de trabajo y
evitar errores. por lo que es fundamental elegir
una buena herramienta. Adems. debemos tener

Figura 2. BackupExec
es un conjunto de
productos para la
generacin de copias
de respaldo, su gestin
y ta recuperacin de
datos. Adems, nos

8
permite recuperar
sistemas enteros, ya sea
~ Windows o Linux, sobre
=> hardware tanto real
~
D
w (www.
como virtual
!@ symantec.com).
en cuenta no solo los tipos de datos que quere
mos resguardar. sino tambin los que podemos
necesitar resguardar en un futuro. porque no
todas las herramientas son compatibles con
todos los datos o con todos los requenmien
tos particulares. Por ejemplo. existen algunas
especialmente preparadas para realizar copias
de seguridad de determinados tipos de software
como bases de datos. servidores de correo
electrnico. y otros. Tambin es una excelente
idea seleccionar una herramienta que pueda ser
Una de las decisiones Importantes que
debemos tomar al definir nuestra poltica
de coplas de seguridad es seleccionar los
medios de almacenamienlo que vamos
a utllizar. Principalmente, podemos optar
por discos pticos (CD. DVD. Bluray, etc.)
cinlas magnticas. discos de red (NAS) o
dispositivos del tipo Storage: De todos ellos.
los ms recomendables son los discos de
red o los dispoSftivos de storage para las
coplas locales y de grandes volmenes de
datos. y las cintas o medios pticos para
el lransporte a locaciones remotas. En la
imagen se muestran las principales ventajas
y desventajas de cada uno. Debemos tener
en cuenta factores como la capacidad de
almacenamiento. el costo por Gigabyte. la
velocidad de transferencia de informacin
y la durabilidad del medio. Por ltimo. de
bemos considerar el hardware que necesi-
tamos para poder acceder a la informacin.
Particularmente. las cintas magnticas
requieren de lectores especiales.
que no se encuentran
en tocas los entornos
de trabajo.
Es preciso tener en cuenta que las copias
de seguridad deben ser cuidadas como
un activo ms de informacin. Suelen
contener datos confidenciales. por lo que
siempre es recomendable encriptarlas.
Adems. deben ser fcilmente idenlifica
bles para que el encargado de restaurar
los datos pierda el menor tiempo posible
en buscar ta copia correcta.
extendida para soportar nuevos tipos de dalos.
ya sea que tengamos que hacer el desarrollo no
sotros mismos o debamos contratar un consul
tor especializado. Esto nos permitir contar con
la misma herramienta aunque la infraestructura y
los requerimientos cambien.
Ms all de esto, si no podemos contar con la
herramienta perfecta. por lo menos debemos
disponer de copias de seguridad realizadas a
mano. con la mayor responsabilidad posible.
Con el tiempo. y en la medida en quepo
damos mejorar nuestros procesos. iremos
adquiriendo las herramientas adecuadas para
efectuar cada tarea. y as optimizar los ttem-
pos y minimizar los errores.
El robo externo
de datos
corresponde
al 24% de
las causas de
prdidas y fugas
de informacin
(Fuente: Syrnantec2010SMB1nforrnation
) ProteclionSurvey)
s
o
Figura3.
lronMountaln
u es unaempresa
~ especializadaen la
proteccin de datos
o y recuperacin ante
o
~=> desastres.Public un
interesante documento
z
"
llamado "Las cinco
z
o
u
mejores prcticas para

"' proteger tus coplas

de seguridad" (www.
lronmountaln.comJ.

,.. .... ~.. . . .

.........,_.___
. .. ....,. _..
...... '""''"' ~
.,~ ,.,,_.,. ,
,..,.,,_..,,, _.. ~~ .
""'"''"'"~"OA"~'""""'"'"'"""'-l'"'"kff~olo"' '''"'"'

MONITOREO asombrar a nuestros superiores. porque demos

Un aspecto que nos ser de gran ulilidad en
nuestro trabajo cotidiano. y que nos servir para
impresionar a nuestros jefes. es ta posibilidad
de conocer rpidamente el estado completo de
la infraestructura tecnolgica. Esto nos oerrm.
tlr mantener los problemas a raya. al poder
controlar las cosas antes de que sucedan. y
trara que tenemos el control de la situacin. lo
cual siempre es bueno. Existen varias formas
de monitorear una infraestructura. pero la ms
recomendable es utilizar una herramienta esoe
calzada. Esto nos dar la gran ventaja de poder
centralizar todo el rnonitoreo en un solo lugar.
ya sea de plataformas Windows. Linux. apltcacio
nes. y cualquier otro parmetro que queramos

Figura4. Zabblx
es una excelente
herramienta de
monitoreo. Escrita en
ZABBIX 1.8.5
PHP, puede utilizar
bases de datos
tanto MySQL como
PostgreSQL. Es de
8 cdigo abierto, asi que
~ podemos descargarla

=> desde su sitio oficial

~
o
w y utilizarla libremente

41) (www.zabbix.com).
 Existen varias herramientas de cdigo Aunque por diversos motivos no podamos
abierto destinadas al monitoreo de implementar la solucin de monitoreo que
infraestructuras. Algunas cuentan con creamos ideal es recomendable tener.por
versiones comercia/es que ofrecen una lo menos. algo"que nos permita estar al
mayor cantidad de caracterislicas y tienen tanto de fa snuecton de nuestra infraes/ruc
soporte del fabrican/e. Por ejemplo: tura. No es necesario que sea un sislema
Pandara(http://pandorafms.com).
Zabbix avanzado: basta con que se nos envie un
(www.zabblx.com),Hyperic (www.hyperlc. correo electrnico si se detecte una suue.
com>y Zenoss (www.zenoss.com). cton anormal.

seguir de cerca. Como siempre. la seleccin de la
herramienta queda en manos de cada oro'esio
nal. segn sus gustos y necesidades particulares.
De esto. lo ms Importante es hacer la eleccin
sobre la base de toda la estructura. teniendo en
cuenta que. en algn momenlo u otro. necesita
remos monitorear cada uno de nuestros activos
de informacin. Asf que. al seleccionar dicha he
rrarnlenta. ser preciso tener presentes nuestras
necesidades tanto actuales como futuras.
ellas podremos definir varios usuarios. y perfiles
para cada uno. Con esto. ser posible asignar permi
sos de acceso a cada integranle de la organizacin.
de acuerdo con lo que cada uno necesite. Esta
es una ventaja que podemos perder de vista al
principio. pero que. luego. se vuelve necesaria si pre
cisamos dividir las tareas de gestin de la seguridad
Si bien algunas de las caracterlsticas de Naglos se
han quedado en el tiempo, sigue siendo una opcin

....._....,.
Otra de las grandes ventajas que liene el uso de una Flgura 5. Nagloses una de las herramientas
de
herramienta frente a alguna solucin ms simple. cdigo abiertoms popularespara el monltoreode
como los tpicos scripts de monitoreo. es que en redes y servidores.

e t:I hUp:/fwww.nagios.cr{lf
r~'''"'""'h ,,,.,.,..,,
..,x_.i"NNaglcs rne lnclistrySt... X 1 +
_..x.cl iJ,,_G,.2,,,ooc.l'"'"Tr;p"o"'slot's
__

WelcomaTo N11gioa Tha lnduatryStandard In ITlnfraatructura Moniloring clSe="~"~---~

t.eam - Learn wh~t Na91<>< 1s ~nd what 1t ~~n dQ !Qr yQu.
See See str<ienshotG ofNa~ioG in action.
Download-GetN;ig;osandst;ntusinoit
Extend- Enh~tlce vour1n1tall wiU1 thousand ofNa9i0< addons.
Get Support- Gat community Md commerciAI 9upport.
Contribule-f'indwarstooetinvolvedwithNaoios.
Whats New - Leam abQut the newet NaQ develoomenb

FeaturedProducts
Web<enoorEM08FWltl

I -J:~~~:.....
Figura&. la
plataforma
PandoraFMS es una
excelente opcin
para monitorear
,,,,..,,.,,,,"'
,_ .. ""' ,.

._ .,,...
,,I
servidores, equipos de
telecomunicaciones
y prcticamente
cualquier otro 1-
1 ~..... ~
,,,._ .._,.,....
dispositivo o servicio de
red. Est desarrollada '""'"'""
~ .
por la empresa
'''"''9 ..9
(www.
espai'lola Artlca l __ ,,_
pandorafms.orgJ. ,. ............
I"""
I~~

muy potente.La versen paga se encuentrams
actualizaday preparadaparaofrecercaractersticas
muy interesantes.ademsde tenersoportedel
fabricante(www.naglos.org).
Si bien el rnonttoreo est relacionado directa
mente con las herramientas de monitoreo de
red y servidores. y existen muchas tecnologas
y protocolos para realizar estas tareas (como
SNMP y WMI). el de seguridad abarca mucho

El 73% de las empresas ms que eso. Este tipo de herramientas suele

basar su funcionamiento en la disponibilidad
ha detectado ciberataques de los servicios. mientras que. como ya vimos.
la seguridad tambin debe considerar la
en su contra. De ellos, el confidencialidad y la integridad. Por lo tanto.
80% ha causado impacto necesitamos Implementar herramientas
complementariaso cualquier otra forma de
negativo en su operatoria obtener los datos que buscamos.
(Fuente:Symantec 201 O SMB lnformation Protecton Survey)
Algunos de los parmetrosque podemos
necesitar seguir de cerca. y que se relacionan
directamente con la confidencialidad y la inte
gridad de los datos. son:
Los setemez de oetecaon y prevencin de Modlcacln de archivos crticos
instrusos son un excelente recurso. tanto Estado de encriptacinde lastelecomunicaciones
para monilorear nuestra infraestructura Centidad de ataques de malware
(aetecaon) como para bloquear ataques
en tiempo real (prevencin). Si queremos Rpidamentepodemos darnos cuenta de que
tener nuestra infraestructura verdadera estos valores tienen varias diferencias con los
mente controlada. ser preciso implementar parmetrosclsicos que se monitorean en una
sistemas de deteccin a ruvet tanto de host red. Y tambin observaremos que la obtencin
como de red. de estos valores se realizar por medio de va
rias fuentes de informacin,como el software
antivirus. los routers y los agentes que tenga
mos instalados en los servidores. Esto hace
que tengamos que integrar varias herramten
tas. ya sea de forma manual o automatizada.
lo que determina que el monitoreo completo
''Una de
de la seguridad lntorrnauca sea una tarea com
pleja. que requiere de un planeamiento muy
las causas ms
inteligente. Ser cuestin de prctica y expe
riencia el hecho de ir perfeccionando nuestras
comunes de las
capacidades de moniroreo y lograr la integra
cin entre cada una de las herramientas que
nuevas brechas
utilicemos. Con el correr del tiempo, sabremos
puntualmente qu valores debemos seguir de
de seguridad y
cerca y cules no son tan importantes de los desastres
CONTROL DE CAMBIOS en los sistemas
Si hay una particularidad que destaca a la tec
nologa es que cambia constantemente. y esto
informticos es la
nos lleva a tener que hacer grandes esfuerzos
para mantenernos actualizados con lo ltimo del
prdida de control
mercado. Cuando estamos en la lucha por man
tenernos actualizados. a veces perdemos el roco
sobre los cambios
y olvidamos tomar los recaudos de seguridad que estos sufren

~1 M~~~;;~;.; w ~~~~N ftAodJ~~~w ,~.!~~,.,;:~:~: :1r.g~1~,:~~

- - .!:';:-.:.,, ::::;::,, t;.~':.~~;:;.~.;:.\ '-:;!'.;,7:':;;'' ~~- :.::::;:.:!! ,;;;::.

--
~ ..~..,.., .. ..
. ..,,...,. .....,wnt'11....,Jo~'""'"''"~"""'''"'"'"'....,,'
........................
..,. , .,.,_,,,,.~ .. Figura7. DevlceExpert
es una plataforma
para la gesrin de
m'7'51'iJ!i'GOllmt configuraciones de
dispositivos de red.
desarrollada por la
empresa Manage
Engine (www.
manageengine.com).

Al decidir si hacemos una actualizacin.
debemos lomar en cuenta varios facto-
res. como las nuevasfuncionalidades. las
mejoras en la seguridad. la estabilidad y la
compatibifidad con otros componentes del
sistema. No siempre decidiremos hacer las
actualizaciones.pero lo m~s importan/e es
que efectuemos un anlisisentes de lomar
la decisin.
necesarios. Muchas veces se utiliza el concepto
de "siempre actualizar". como si cada uno de
los sistemas debiera estar en su ltima versin
para runcionar correctamente o cumplir con
las polticas de seguridad. Esta es una verdad a
medias. por dos motivos fundamentales. Primero.
hay que evaluar si la ltima versin es considerada
"estable". porque ciertos equipos de desarrollo
suelen publicar versiones de sonwere que son de
prueba y que. si bien pueden tener pocos errores.
an no han sido testeadas como para instalarse
en equipos de produccin. Segundo. las actualiza
ciones no siempre traen mejoras de seguridad. y
muchas veces.presentan ms requerimientos de
hardware o dependencias de software. Por lo taran
Figura 8. Puppet
es una herramienta
para la gestin de
configuraciones de
sistemas de tipo UNIX.
Est desarrollada en
Ruby, cuenta con una
"""''""'"'"'"""'"....,,.....,(.,,,..110-~
'"'""""~~
.,...,.,._, .. ~,.,~,..,..,.......,.,,_..~ .. r,..,.. ~
gran comunidad de
.......................
usuarios y dispone
de varios recursos de
documentacin (www.
puppetlabs.com). A! 9., ,...,,..,,..,.,...,....,
,_--..;.;;,;o;o...........,.__,,....,,~l~"~'"'"'*l<>.f4..o<.O.P.ll-o~
es preciso tener cuidado al decidir Si aplicamos las
actualizaciones o no
Por otro lado. tambin tenemos los cambios de
configuraciones. que suelen hacerse en equipos de
prcduccin. sin tener en cuenta que pueden provo
car cadas del sistema, problemas de rendimiento y
hasta prdidas de datos. Para este tipo de srtuaclo
nes. tambin podemos contar con herramientas
que nos permitan mantener distintas versiones de
las configuraciones del sistema. Lamentablemente,
como cada sistema utiliza su propio mtodo de con
figuracin (bases de datos. archivos de texto plano.
archivos XML. formatos propietarios. Ida p. etc). es
muy difcil encontrar una nica herramienta con la
.....
cual mantener ledas nuestras configuraciones. En
-
Parafa gestin de configuraciones.
NA/ es una excefenteherramientade
cdigoabierto que puede correren
plataformas tanto Windows como Linux
y MAC(hltp:/llnvenlory.alterpolnt.comJ.
Tambinpodemos optar por las ners-
mientas pagas como Orion. de Solarwinds
y Devcetsoer.de
(www.solarwlnds.com);
Manage Engine (www.managenglne.com).
manageenglne.com).
_,.,,
..__ .........., ......... .........
.. , ,,,,,,.,,......
........ ~~ "''""
n..i .. Fo. .. ...,,..,,.e,... ...
 Figura 9. La
herramienta de cdigo
abiertoNAI (antes
Netwc kAuthority conocida como Ziptie)
INVENTORY nos permitir gestionar
un inventario de
nuestros activos de red,
PI YOU NF WR ON mantener versiones
A FIRM FOUNDATION de archivos de
""""''.,..."'"'''"'""....,.l>'O'<l<0n1.,...,.. .,,.. ,,.,.,.,, ..,~of,01" configuracin y real/zar
ntl""'"''"''Vi>"1mJ:1..0-00U01t"<IOU<OnDOO..uP"''"''"'
dt'1 ... 00nft.JLTo ... ,,dea-,;o.<,.UOnd'oo~11..,d00'"'1"<0ni'1-1""'"' varios tipos de pruebas
Oolttnt1t"ort.No1orl....,j'IOrrl"1nto<1?lntrtt.1no11u!t.rH'g""
dt""lod ~tw of~,...,. """"'"' "'"'"""'"'- '"''-"~~~dote (http:J/lnventory.
alterpolnt.comJ.

este caso, todo depender de nuestras necesca

des. de nuestra creatividad v de nuestra capacidad
AMBIENTES DE PRUEBAS Y
para desarrollar herramientas propias. mezclndolas PRODUCCIN
con las ya existentes. Tambin debemos analizar los
criterios para seleccionar los productos que vamos Cuando nos encontramos frente a la situacin de
a implementar. teniendo en cuenta los mtodos tener que implementar una modificacin -va sea
de configuracin disponibles. a fin de simpliricar el por una actualizacin de software o hardware.
mantenimiento y la gestin de las configuraciones. o por un cambio de corquradon. sabemos

Figura 10. Algunas

normativas, como la
BANCO CENTRAL DE LA REPBLICA ARGENTINA
BCRA4609 -emitida
COMUNICACION "A 4609 l2111212oasl por el Banco Central
ALAS ENTIDADES FINANCIERAS,
Al.AS CAMARAS ELECTRNICAS DE COMf'ENSACIN de la RepUbllca
Ref.:Clrcular Argentina, exigen
RUNORl805
a sus entidades
R<1<1ui.rros mfnlmos CHtieorldn, lm1Jltmn-
lcinyc0<1!ro!dlorlaorlclonado reguladas contar con
~:::,,i:,~:loti'-holorm,ll~ y sls111111u d In- ambientes separados

8
de desarrollo, pruebas

y produccin
arras normativas y
" 1. Aprobar las norma sol>ro "Raqul~os Minimoo do Gosli6n, lmplllmnnlllcicln y Control de los
Riesgos Re!~cbnadocon Te<:n<Jlogla lnforrMllCll.Slttemn de lnll)rma<:!Ony RecursosAso estndares tienen
CiadOllpara las Emidade~FIMnderasa qoo !141re!leraelAneo a la P<en\11 COmuni:ac:IOn
exigencias similares

*
(www.bcra.gov.ar).
que existe el riesgo de provocar una cada en el
sistema o la prdida de datos. Es por eso que se
Cuando ocurre un incidente
vuelve extremadamente recomendable contar de seguridad, lo ms
con un ambiente de pruebas idntico al de pro
duccin. que nos sirva para probar los cambios y importante es saber
verificar que tocio funcione correctamente. exactamente qu hacer
De ser posible. debemos tener un sistema de
pruebas por cada sistema de produccin. Si no estructura. y debe ser protegido como tal. Para
disponemos de los recursos necesarios. como esto. tendremos que implementar las ootucas de
mnimo necesitaremos sistemas de pruebas que seguridad correspondientes y tratar de rnante
se correspondan con tos sistemas de produccin nene lo ms aislado posible de los equipos de
ms crmcos. Para esto. podemos hacer uso de produccin. de modo que no haya ningn tipo de
la virtualizacin. que nos permitir crear equipos inconveniente entre ellos
virtuales de pruebas en pocos minutos. Adems. es necesario que cada equipo de prue
Es importante entender que un equipo de prue bas tenga bien identificado su rol "de pruebas.
bas no deja de ser un equipo de nuestra inra y no sea utilizado para absolutamente ninguna
tarea de produccin

Figura11. Mantls es una herramientaque nos

permitemantenerun registro de Incidentes,hacer GESTIN DE INCIDENTES
seguimientosy reportes.y muchasotrastareasms.
Es bastantepersonallzabley. por si esto fuera poco, De acuerdo con la gravedad del asunto. tal vez
es decdigo abierto.estescritaen PHPy utiliza una tengamos que reaccionar de manera inmediata.
base de datosMySQL. con lo cual ser de suma importancia tener a

o ~01 l6VW ""-'Y ~ool<r"*ko JPOOI !jlllp

1& l!i!ltittpJJwww.rnonlllrl ... llidtm........, dW,,_po<o~ I
't'""""'Y"'
M "Follllnl'or 11 c:l:W..oo.,F. K ft1W"-"EflS ... 111lFou1K1ot; 11 .. ~-~y

~~~-
1GIJ {H;-OS ~ 11 EOT o

I olG!!!!!iD(rN)1
v~ .......
~IHuU(I $1J/Z[l\IJ)[~ll~l[~I
e ...
iillLl:llllcl. "r. --- .:ililJ.lli

' [~IJl!lO]

~'
M~(~)

=~
l~l
~(~]
,_,

.. ~(!l:io)
Woho>r.

,...,
,,,...,_(i:,W:IJ
W-te

""""' W- d(~)

"""" W-
(~>) O"?"'!d(dJdl)
 Figura 12. Prelude (D
es un SIEM de cdigo
abierto bastante
interesante,que
f P R E l U D E "'"""''"' puede obtener datos
de diversas fuentes,
como Snort. OSSEC
y otras herramientas
de deteccin de
intrusos,as/ como
de herramientas de
man/toreo (www.
preludetechnologles.
com).

~C: a
;;,. .. _.,.., .,
, r-
~~~ ,,N., ON'.."~'"'""""
., ............ ~ ~....,MIOOIN"'""'""' "'"'"'
--oJ
l~O ~~~'

mano las herramientas y la informacin correctas. Cerca del 20% de las

Es ampliamente recomendable contar con un
sistema de seguimientos de incidentes. a fin empresas desconoce el
de registrar cada uno de los problemas que nmero de incidentes de
van surgiendo. con sus respectivas solucio
nes. Esto nos dar la posibilidad de hacer un seguridad ocurridos en los
anauss estedsttco de nuestros tiemposde ltimos 12 meses
respuesta y de los problemas ms frecuentes. (Fuente: PWC Global State o! lnformationSecurity Survey 201 1)

Figura 13. OSSIM es un

SIEM desarrollado por
::ollenvault la empresa Allenvault
MI que se basa en la
agrupacin de varias
herramientas de cdigo

__
.....,..,."e-0 1....
,,
.............,, -.
, ,_,
..... ""~"'"""'"' ~"-"""'""
~ , . ..
,"""""'"'"'""' "'"~"' "'
~""''~'"" ..;."''"~'""'""'" .,,_ .
abierto, como Snort
Nagios. openves y

_ , ~"..""'""'
~.,.. ..'""'""'"'"""'"",..""""'''"'""'
algunas otras. Cuenta
., , ~ ..
~.
.............,~
~~
'"""'""''""'"""""''"''"''""w""'
,.,, , ..""'"'"'..., .. ,.,,~, con una versin paga

~.. -.. _,,,.., __

"""'""'"""'"""''~""'"'"'"'"'"'""'""'"'""'""'""''"""'~'
"'............................................. ......., ~
.,,, ,.....,.~
, ,.,. ...
.."'"""""""'"'"....,,_,,, que ofrece algunas
capacidades extra,
adems del soporte
del fabricante (http:/J
allenvault.com).
: Para definir la criticidad de un incidente. de variedad de sistemas que obliga a los administra
o
e bemos basarnos en ta clasificacin de activos. dores a utilizar varias herramientas diferentes.

~ analizando a cules afecta y qu problemas pro

duce. Esto tambin nos permitir saber de qu
o tenemos que ocuparnos primero si se presentan
o
-c varios incidentes al mismo tiempo o hay varios
o
~ activos afectados
~ Tambin existen herramientas que integran
..
o
u el monitoreo con la prevencin de intrusos. el
seguimiento de incidentes y otras funciones
de seguridad. Se tas denomina SIEM (Security
lnformatlon and Event Management)
Las herramientas del Upo SIEM suelen ser com
plejas. y puede llevar un liempo configurarlas
correctamente y acostumbrarnos a utilizarlas
Pero. una vez que dominemos su uso. pueden
ahorrarnos muchsimo uempo y brindarnos la
capacidad de centralizar una gran cantidad de
tareas en un mismo lugar.
Adems. suelen estar preparadas para conec
tarse con herramientas externas. lo que las con
vierte en un excelente recurso para la gestin de
grandes infraestructuras. que cuentan con una
Es una excelente idea probar este tipo desiste
mas. utilizarlos durante un tiempo y ver con cul
nos sentimos cmodos. analizando qu benefi
cos podemos tener a corto y largo plazo
Las cadas de servicio
representan el 49% de los
impactos que ocurren en una
organizacin tras un ataque
(Fuente:Symantec2010SMBlnformationProtectionSurvey)
Los SIEM pagos suelen tener precios elevados.
asf que tendremos que pensarlo bien antes
de tomar una decisin. Todo depender de la
cantidad de recursos con los que contemos
para llevar a cabo la qesuon de la seguridad. Si
disponemos de buenos recursos econmicos
pero estamos acotados en cuanto a recursos
humanos, la nstaiacion de un SIEM puede

:llwww.flrr.t.or9/

wComputersewrlty"1cl. x :i'JUSCEf<T:UnltedStllCe .. , x J .... ~1P.STlrnj1rovln9seo.i .. x [~eo

Figura14. El Foro de
Equipos de Respuesta
a Incidentes de
Seguridad (F/RSTJ
es una entidad que
organiza a varios de los
equipos de respuesta a
incidentes (CERTJ del
mundo. All podemos
encontrar diversos
recursos de inters
(www.first.org).
FIRST is tha global Forum tor lncldent Response and Securily
Teams
flRST I rilo"''~"'m~hn nd 19009nbd 9lobI
IUd1t ln1n101n:u~onse u1m~1rsn1~1nflRSl on1~10
IMldtlH0001QIUmt1omoro111tt,.11inJ>OMIO
ucun~ ln,ldn!S <otl~ "'~' P""1
FIRSlb,,nglOgolnor1n<"tor .. mputoou"'""'"""""'
ruo<H,.otmnomg""''"mom.1nvrior~~""
oauonlor.onoo1111111.flRST>imtof"1<r<oom01"'"
M<oo!Oln'onlolo<"mormn'n,to"m'"'~'"Pld
'""ioololmldlll.ndtoorof111l,.Jnlo1m'1IO!l<hln
>monmor''""''"dm<ommunll(3tl>rU (l>ortuglll)>OOO .. OVIRIS-CE~TnCERT.or
Ai>orom1otlfll!lnot...,rl<m:nRST<ormoln1nog1ob01 Mon.l*M .. 20!1
1n~o1n1110001110oommur>111",flRSTmo"""""1"1 soc.. ftiolfff01..:WhMC1HlIO<YT .. ,h17(19.IS
ddo0"'1<u.Somollll><t
ri:!~~Nmofll><ldoOIRoonH;MSl<urilJTlmo
 fi.i. ~$
Figura 15. Aunque

r ' ..,._.....
la organizacin DRI
lnternational no se
~z
enfoca directamente o
u

- ~= ~
en la seguridad

I ~~"""
... ......... ,
'""'"'"' .............,..... informtica. es un ~z
excelente recurso de o
::;
Certificatron informacin: su sitio es
~
~=~~J.~t~~}~~~~"fJr
www.drlll.org.
"'
P"*""'""'
""'"rJlll)'tr<1n~on"',...,..."'lf'n
Co~1<1lmLi1toO>P111Prt>:t"""tc.O,.ot~rdlO"""""'"O!l~i"'"'

Tomandocomo ejemplo un eventoca-

tastrfico. los ataques terroristas del 11 de

' ' Un puntoclave septiembre de 2001 al World Trade no soto

al responderante implicaron una prdida enorme de vidas.

sino que tambin destruyeron negocios por

una emergencia completo y dejaron a muchas empresas al

borde de la autetxs. Muchas de ellas conta-

es la frialdad ban con todos sus recursos apostados en

un mano fugar. tanto los humanos como

con la que lo los tecnolgicos. y por eso no pudieron

resistir la catstrofe. Esto nos demuestra

hacemos,porque que la cantidad de eventos adversos que

podrfan llegar a ocurrirnos es infinita. y no

la presinpuede podemos estar preparados para cada uno

de ellos. Pero si es necesario que estemos

hacernosactuar al tanto de las situaciones ms problables

con las que podrlamos llegar a tener que

equivocadamente lidia1: Sobre fa base de estos anlisis.

podremos seleccionar qu medidas
de seguridad implementar. y tener
una idea clara de tos riesgos que
optimizar todas nuestras tareas. lo cual puede estn cubiertos y los que no lo
terminar siendo un ahorro de dinero para estn. Siempre es preferible
la organizacin. Adems. este tipo de saber que hay riesgos para
herramientas suele dar la posibilidad de los cuales no nos estamos
generar reportes. los cuales nos servirn preparando, que desco-
para los procesos de anlisis y mejora nocerlos en su totalidad
R continua. Debemos tener en cuenta que. ms
o
e all de las herramientas que podamos utilizar.

~ la gestin de incidentes no deja de ser otra

cosa que estar al tanto de todo lo que sucede
''Si el documento
o
o
-c
o
en nuestra infraestructura v enterarnos. de
una forma u otra. de todo lo que suceda con la
BIA sirve para
~
~
mayor rapidez posible. Una vez detectados, los
incidentes deben resolverse en liempo y forma.
identificar qu es
..
o
u En resumen. la gestin de incidentes es el con
junto de oonnces, metodologas. herramientas y
lo peor que puede
procedimientos que se llevan a cabo para lidiar
con todos los eventos adversos que sucedan en
pasarnos, los BCP
nuestros sistemas.
y DRP sirven para
BIA, BCP Y DRP saber qu hacer si
Cuando nos ponemos a pensar en todas las
cosas malas que pueden ocurrirles a nuestros
esto nos pasa
sistemas. solamente hay una que puede man
tenernos tranquilos: tener un plan. Y. si bien es nes adversas ms probables no solo nos da
cierto que no podemos estar preparados para seguridad. sino que tambin nos obliga a co
responder ante absolutamente todas las cosas nocernos mejor. Es por eso que muchas veces.
que pueden suceder. el hecho de saber que al tratar de reparar un desastre, producimos otro
estamos preparados para afrontar las sltuacto mucho mayor. Por lo tanto. en las situaciones de

1~(lo114)~

lnterested in lear~lng
Beadi'IJlg Room 1
more about security?
1
Figura 16. El Instituto
SANSha publlcadoun
S\\IS
documento de trece
pginasacercade la SANS lnstitute
recuperacinante
lnfoSec Reading Room
,,.,.,_,.,.,...u .. s.,.,,...... _,,~_.., .. _....,."".,.....,., .....,, ......, ......, __
desastresen sistemas
informticos. Es una
excelentefuentede
The Dlsaster Aecovery Plan
informacin, junto con
las otras publicaciones
de dicho instituto
(www.sans.org). (O Di96 ll<OMS IM c6p .. ,,.1~rn r Me ,. :ser~ (O Dow
 que tendran un impacto ms negativo en la
operatoria de una organizacin. Suele ser un es
Como fos documentos BCP y DRP tudio que no considera solamente la tecnologa.
cumplen funciones bastante simifares. sino que abarca todas las posibilidades. como
podemos damos et lujo de unificar et desastres naturales. problemas de imagen.
contenido de ambos en uno solo. siempre muerte de personal de puestos crticos. cambios
y cuando nuestra organizacin lo amerite. en la economa local y global. etc.
Por lo general. pueden unificarse en pe- El proceso de desarrollo de este tipo de docu
queas y medianas empresas.y deben es- mentas es complejo. y abarca cuestiones que
tar separadosen grandes organizaciones. van mucho ms all de la seguridad rororrreuca
que tienen una estructura m~s compleja. asr que no vamos a detenernos mucho en este
tema. Pero a continuacin mostramos un listado
de los pasos clave para poder crear un docu
estrs que no nos permiten pensar es necesario mento de estas caractersticas
tener un plan que lo haga por nosotros t. El primero es seleccionar a los individuos que
La organizacin DRI lnternatlonal se encarga varnos a consultar para esto.
de promover las actividades de contmudac de 2. Elegir las tcncas para obtener datos (cuestio
negocio y recuperacin de desastres a travs de narios. entrevistas. etc)
educacin. asistencia y publicacin de oocumen 3. ldenlificar las funciones criticas del negocio.
tacn relevante. 4. El cuarto paso es identificar los recursos que
Las siglas BIA, BCP y DRP hacen referencia a son necesarios por estas funciones.
Businesslmpact Anafysls.BusinessContinu!ty s. Calcular durante cunto tiempo pueden sobre
Plan y DisasterRecovery Plan. respectivamente. vivir estas funciones sin esos recursos
Et BIA (o anlisis de impacto en el negocio) es el 6.Identificar las vulnerabilidades y amenazas
estudio que indica cules serian las situaciones para estos recursos

Figura 17. En el sitio

del Business Continuity
lnstitute podemos
encontrar varios
recursos acerca de
las mejores prcticas
para la continuidad
del negocio, adems
de referencias a cmo
obtener la certificacin
BCI (www.thebci.org).
 Poltica de
seguridad

Identificar funciones
crticasdel negocio

Identificar vulneravilidades
y amenazas

Calcular los riesgos

asociados

Redactar el
documento BIA

Asignar roles
y responsabilidades

Desarrollar estrategias
de recuperacin

Escribir el
BCP/DRP

Probarel plan

Mantener el plan

Figura 18. El grfico muestra losprincipalespasos que deben llevarse a cabo en el desarrolloy mantenimientode un
BCP!DRP.Es un proceso complejo,y cada uno delos puntos mencionadoslleva tiempo y tiene varias tareasasociadas.

7. Calcular el riesgo asociado a cada funcin
del negocio
8. Documentar los datos encontrados y reportar
los a la gerencia
Como podemos observar. el proceso de desa
rrollo del BIA es muy similar a lo que vimos en
el anlisis de riesgos. La particularidad que tiene
es que debemos considerar cualquier tipo de
amenaza. no solo las relacionadas directamente
con la informacin y la tecnologa
Es por eso que. si nuestra organizacin no
dispone de un BIA. podemos utilizar el anlisis de
riesgos que se realiz en el Capltulo 2 para llevar
adelante los documentos BCP y DRP
La diferencia entre ellos es que el DRP se
encarga de definir cules son las acciones que
debemos tomar si sucede un desastre. mientras
que el BCP se ocupa de definir cmo el negocio
continuar funcionando mientras nos recupera
mas de los efectos de ese desastre
Para simplificar nuestro trabajo. analizare
mos el caso de una unificacin de estos dos
documentos. que resulta en un nico BCP/
DRP. Para las organizaciones que 10 requieran.
que en la prctica son verdaderamente pocas.
ser necesario hacer un estudio minucioso y
elaborar todo un proyecto para definir tanto
un BIA. como un BCP y un DRP.
Pensando en una organizacin pequea o
mediana (y hasta en una organizacin grande.
pero que tenga una estructura simple). noso
tros vamos a trabajar sobre los datos obtenl
dos en el Capltulo 2 (para evitar el desarrollo
de un BIA) y a unificar la continuidad de nues
tro negocio a travs de un nico documento
BCP/ORP. Podemos decir que los puntos clave
para el desarrollo del documento BCP/DRP son
los siguientes
1. Definir el proyecto para desarrollar el BCP/DRP.
Asignar los roles. responsabilidades y autorida
des de cada uno de los involucrados en el proce
so. De este paso depende gran parte del orden
con el cual se desarrollar el proyecto.
2. Sobre la base del anlisis de riesgos. identificar
las amenazas y vulnerabilidades que podran
llegar a desencadenar un desastre. Esto nos va
ventajas
LJ -Es el ms econmico
o
:=========!
Relacin costo/beneficio.
Pueden probarse con relativa
facilidad.
:=========!
l_J
~ Las pruebas son fciles de realizar.
'Disponibleinmedia_ta_m_ente.
__
Figura 19. La tabla muestra, a grandes rasgos, las ventajas y desventajas de cada uno de los tipos de sitio de
contingencia. Nuestra eleccin depender tanto del anlisis de estos factores, como de nuestras necesidades y
recursos disponibles.
a servir para encaminar el proyecto y asignar
prioridades a nuestras acciones.
3. Desarrollar estrategias de recuperacin para
cada una de las situaciones identificadas. tratan
do de unificar las medidas de recuperacin. para
reducir costos y simplificar el plan
4. Escribir el plan de contingencia. con sus
respectivos procedimientos y la asignacin
de roles para cada uno de los integrantes que
deben intervenir en el proceso. Adems. hay
que explicar detalladamente cmo seguir
runcionanco la organizacin mientras se recu
pera del desastre.
s. Probar el plan. realizar ejercicios de entre
namiento y capacitaciones. Esto es de vital
importancia para asegurar que el plan funciona
correctamente. y tener a los empleados bien
preparados para responder en tiempo y forma.
6. Mantener el plan. tanto con actualizaciones pe
noncas, como buscando las formas de optirnlzar
el documento. los procedimientos y a las perso
nas involucradas. Si no hacemos esto. al cabo de
poco tiempo. el plan quedar desactuenzado y
no nos servir de nada
Desventajas
Tarda mucho tiempo en volverse
productivo.
Tenemos que llevar todo
el equipamiento informtico.
Tenemos que llevar ciertos equipos
informticos.
_. .__Costo_m_u_y_e_levado_.
'
SITIOS DE CONTINGENCIA
Ya sea porque una normativa nos lo pide o porque
hemos evaluado que es necesario. puede ser
necesario contar con un Sitio de coruocenca que
sirva para alojar sistemas de respaldo en caso de
que los sistemas principales sufran daos. Este tipo
de medidas es muy recomendable si queremos
asegurar que podremos continuar con la operatoria
de la organizacin en snuacores catastrficas.
La deciSin de invertir en un silio de contingencia
debe salir del anlisis de riesgos o del anlisis de
impacto en el negocio {BIA). Una vez que recono
cemos la necesidad de un sitio de contingencia.
nos queda seleccionar el tipo de sitio y el lugar en
el que se encontrar. Los siguientes son los tres
tipos de sitios entre los que deberemos elegir:
SITIO DE CONTINGENCIA EN FRIO
CCOLDSITE)
Este tipo de sitios contiene la estuctura bsica.
con electricidad. cableado y aire acondicio
nado. pero solamente eso: no Incluye ningn
equipamiento lnforrnttco. Es la opcin ms
econmica. pero toma ms tiempo en volverse
operativa. porque tendremos que conseguir el
equipamiento en el momento del desastre y
configurarlo adecuadamente.
SITIO DE CONTINGENCIA TIBIO
(WARMSITE)
Este tipo de sitios. adems de contener lo
mismo que uno fro. cuenta con algunos dis
positivos informticos. generalmente genri
cos. como servidores. estaciones de trabajo y
equipamiento de redes. Tarda menos tiempo
en volverse operativo que un sitio fria. pero aun
as. deberemos configurar los equipos y tal vez
tengamos que conseguir el hardware que no
es provisto por l. En algunas organizaciones
que utilizan mainframes.servidores especiales
o equipos de telecomunicaciones avanzados
podramostener que llevarlos y configurarlos.
SITIO DE CONTINGENCIA CALIENTE
(HOTSITE)
Este tipo de sitios est completamente equipado
y puede ponerse en marcha en pocas horas.
Lo nico que suele faltar en estos casos son los
datos. El equipamiento instalado en ellos debe
ser completamente compatible con el del sitio
original. Obviamente. es la opcin ms costosa
sobre todo. si necesitamos que haya hardware
muy particular o muy potente. pero nos garanliza
la transicin menos agresiva de un sitio a otro.
Para la seleccin del tipo de sitio adecuado tendre
mos que analizar qu tempos de ca ida de servicio
podemos tolerar. las probabilidades de que ocurra
un desastre y los recursos econmicos de los que
disponemos. La opcin ms utilizada son los sitios
tibios. que suelen permitir un buen balance entre
tiempos de respuesta y costo. En el caso de las
organizaciones que no puedan soportar ni siquiera
un da de prdida de servicio. ser necesaria la
contratacin de un sitio caliente. De todos modos.
CL1alquiera de las opciones elegidas debe ser
verificada peridicamente. para corroborar que los
procesos de recuperacin y el equipamiento del
sitio funcionan como corresponde. Adems. estas
pruebas nos darn una buena idea de cules son
nuestros tiempos de recuperacin
PARA PONER A PRUEBA
1. zsobre la base de qu critetios debemos se
leccionar los datos por respaldar y la frecuencia
entre respaldos?
2. Qu diferencia existe entre el monitoreo
convencional de infraestructuras tecnolgicas y
el rnonitoreo de seguridad?
3. zcor qu se vuelve difcil unificar la gestin de
las configuraciones de los distintos componen
tes de una infraestructura?
4. zror qu es importante saber de antemano
cmo reaccionar ante un evento adverso?
5. zccaes son las caractersticas de los distintos
tipos de sitios de contingencia?
PARA APROVECHAR ESTE CAPITULO

ACCEDER A LOS SITIOS RECOMENDADOS PARA APRENDER MAS ACERCA DE LOS PROTOCOLOS.

DESCARGARY PROBAR EL SOFTWARE MENCIONADO

RELEVAR LA DOCUMENTACIN DE TODOS LOS DISPOSITIVOS Y VERIFICAR QUc MEDIDAS DE

SEGURIDAD PODEMOS IMPLEMENTAR.
TELECOMUNICACIONES
FACTOR CLAVE
Eneste capitulo aprenderemos a:
Objetlvo1 Comprender la importancia de
los distintos tipo de dispositivos de teleco
municaciones.
Objetlvo2 Evaluar las ventajas y desventajas
de implementar firewalls y sistemas JOS.
ObJetlvo3 Seleccionar la mejor forma de
administrar nuestros dispositivos.
Las redes de computadoras ya no son cosa del
futuro. sino que estn establecidas como algo
comn y corriente. casi implcitas en toda organi de seguridad. que no son detectadas hasta que
zacin. Son un recurso tan habitual como el papel.
y las empresas las utilizan para transportar datos
a velocidades que. hasta hace unos afias. eran lm-
poSibles de imaginar. como las redes inalmbricas.
Todas estas recooocas simplifican la vida de cada
uno de los integrantes de una organizacin.
' 'Al plantear
las estrategias
de seguridad, la
mayora de las
empresas tienden
a enfocarse en
las estaciones
de trabajo y los
servidores,
porque estos son los equipos que almacenan y
procesan la informacin con la que se trabaja da
a da. As que es comn olvidar los dispositivos.
las tecnologfas y los protocolos que llevan esa
Informacin de un lugar a otro. Esto hace que.
muchas. veces existan graves vulnerabilidades
algo malo sucede. Es por eso que cobra tanta
importancia la visin global de la seguridad
informtica. que nos permite proteger una orqa
ntzacln como un todo. y nos da la posibilidad de
utilizar cada uno de nuestros dispositivos como
una herramienta ms de seguridad. en vez de
verlos como puntos de falla. Recordemos que
todo pasa por estos equipos. de modo que no
podemos darnos el lujo de perder la oportuni
dad de controlarlos por completo. para sacar el
mximo provecho de ellos
Como expertos en seguridad. debemos tener
una comprensin clara de las tareas que cumple
cada uno de los dispositivos. as como tambin
de los beneficios y las vulnerabilidades que
pueden introducir en nuestra infraestructura. Es
imposible evitar el uso de estos equipos. as que
tendremos que aprender a seleccionarlos. confi
gurarlos y mantenerlos de la manera adecuada.
Es por eso que debemos tener en claro.
exactamente. cules son las herramientas y los
recursos que tenemos a mano para prevenir y
dar respuesta a los inconvenientes que surjan
en esta rea de la seguridad. En las siguientes
pginas analizaremos en qu forma debemos
proteger nuestras redes y qu herramientas
podemos utilizar para simplificar nuestras tareas.
SWITCHES INTELIGENTES
En caso de contar con switches lntellgentes.
podemos utilizar tecnologas como Port Security
(presente en los dispositivos Cisco), que permite
enviar una notificacin a travs de un Trap
SNMP acerca de las nuevas MAC aparecidas en
un puerto. Analizaremos Port Securlty con ms

INVENTARIO DE detalle en uno de los siguientes apartados

DISPOSITIVOS
Como analizamos anteriormente. contar con un
inventario de los dispositivos que se encuentran
en una red es de vital importancia para poder
implementar correctamente las medidas de
seguridad adecuadas.
Para este tipo de tareas existen varias herra
mientas. muchas de ellas. de cdigo abierto.
como Wlreshark. Arpwatch. Ettercap. y otras.
Podemos ejecutarlas constantemente. y auto
matizarlas para obtener un reporte contnuo de
los nuevos dlsposlvos que aparecen en nuestra
red. A conttnuacin. analizaremos algunas dlstln-
tas formas de llevar a cabo esta tarea.
ARPALERT
Esta herramienta nos permite capturar el trfico
de una interfaz de red. y detectar las asoclacio
nes de IP y MAC actuales, notificndonos de
nuevos dispositivos y otro tipo de cambios. Es
una herramienta de cdigo abierto muy til.
que puede servirnos para crear rG'lpidamente el
inventario de una red.
Trabaja analizando los paquetes del lipa ARP:
que se envan normalmente en una red para co
nocer la direccin MAC asociada a una IP Como
estos paquetes se mandan a todos los hosts de
la red. podemos verlos v detectar de forma senci
lla cuales son los dispositivos activos.

40% de las empresas utiliza SCRIPTING

una solucin de inventario Por ltimo. podemos implementar una solucin
personalizada. automatizando herramientas
de activos como Arpalert o creando otras propias. a travs
(KPMGlnformation SecuritySurvey)
de librerfas como Scapv para el lenguaje de

Figura 1. Arpalert es un software que nos alerta de cambios entre las asignaciones MAC/IP, lo cual puede ser
muy til como complemento de otras herramientas de monitoreo. En la imagen, podemos ver cmo nos alerta
sobre la aparicin de equipos nuevos en nuestra red. De ser posible, tambin nos detalla cul es el fabricante
asociado a la direccin MAC del equipo. (www.arpalert.org/arpa1ert.htmV
programacin Pvthon. Este tipo de pequeas
programas pueden ser de gran utilidad. por
que nos permiten realizar tareas sencillas. y
formular reportes. enviar correos electrnicos
con notificaciones. y cualquier otra cosa que
podamos precisar. Es necesario tener ciertos
conocimientos sobre programacin para desa
rrollarlos nosotros mismos. aunque podemos
encontrar en Internet varios ejemplos y scripts
completos. listos para utilizar.
Para demostrar la potencia de scapv abajo tene
mos un script que nos alerta de todas las consul
tas ARPque se realizan en una red. Con algunas
pequeas modificaciones. podramosobtener
un programa similar a arpalert. contenido en solo
algunas lineas de cdigo Arpaler.
ROUTERS Y SWITCHES
Si bien existen varios tipos de dispositivos de
telecomunicaciones. los routers y los swit
ches son. sin dudas, los ms utilizados en la
mayora de las empresas. Tanto en equipos de
gama alta como en los de gama baja, debe
mos considerar ciertos aspectos de seguridad
al seleccionarlos. instalarlos y configurarlos.
para sacar el mximo provecho a sus Iun
ctonsucaces y proteger nuestros datos de la
manera ms adecuada.
Los switches son un caso especial. an ms
olvidado. en general. porque hasta hace unos
anos los dispositivos que trabajaban en la

#! /usr/bin/env python
from scapy.all import Aprender a programar scrtpts es de vilaf m-
portancia para converlirnos en excelentes
def arpmon(pkt): profesionales. Seguramente. pasaremos por
if ARP In pkt and pkt[ARP].op in (1,2): diversas siluaciones en las cuales este Upo
return pkt.sprintf("%ARP.hwsrc% %ARP. de conocimientos puede simplificarnos en
psrc%") gran medida nuestres tareas. Y no es algo
dificil de aprender: es cuesuon de elegir
snlff(prn=arpmon, filter="arp", storee) un lenguaje y praclicar. Para comenzar, es
recomendable trabajar con Pvhon.

Figura 2. Scapy
.. t -"~""-- c-""'
es una librerla l'!!N!P'H''ff~~ ....... -----:
para el lenguaje de ~capy
programacin Python,
que simplifica la tarea
de crear paquetes de
red personalizados.
Con ella tambin
podemos desarrollar Es~;g:gg1:1';';~-F2:.:g?~:;:.::....,....,,=::iE:"'""
rpidamente ~'"""'"''"'"''"'"'"""'""""....,""~
ceotureaores de trfico
y otras herramientas
muy potentes(www.
secdev.orgfprojectsf
scapyJ.
 Figura3. Cisco
svstems (www.clsco.
com) es uno de los
fabricantes de equipos
de telecomunicaciones
mas reconocidos.
Adems del soporte
brindado por la
empresa. cuenta con
una gran cantidad de
recursos generados
por la comunidad de
usuarios.

capa 2 del modelo OSI no eran gestionables ni

De ser posible. el inventario de activos ccnqurables. Eso hizo que se los considerara
debe obtenerse de la sa/fda de varias como una especie de adaptador bsico. que
herramientas. porque para realizarlo de permita unir varios dispositivos. as: como lo
forma adecuada es necesario obtener hace el adaptador elctrico. que nos permite
Informacin de varias fuentes. Es una conectar la televisin. la radio y el reproductor
excelente prc/ica ulillzar una herramienta de OVO en un mismo enchufe. Esto ha cam
central. que nos permita obtener un repor- biado. y tenemos QL1e ponernos al corriente
le genera! de los aclivos. La herramienta
OCS tnvemorv oemue tanto mantener un
repositorio cenlral de dispositivos. como
implementar moniloreos constantes para
detectar cambios y nuevos dispositivos de
' ' los switches
son cada vez ms
red En los entornos de red pequeos. es
posible ulilizar una nica fuente de infor-

macin. Pero. en entornos de red grandes
o muy segmentados. es recomendable
utilizar varios sensores que nos permtan
obtener datos de los diferentes puntos de
la red En el caso de las pequeas empre-
sas. que ni siquiera puedan contar
""".. con un entorno de servidor
dedicado a esto. podemos
implementar comprobaciones
con comandos bsicos. como
"ping: arping y 'arpwatch: ge
nerando reportes en archivos
de texto y afertas a travs de
correos electrnicos.
inteligentese
importantespara
una red
Como primera medida. y como hemos visto
en captulos anteriores. debemos mantener un
inventario de cada uno de nuestros ctsposl
vos de comunicaciones. Para hacerlo. pode
mas recurrir a varios protocolos. de los cuales
el rnas estandarizado y presente en todos los
dispositivos del mercado es SNMP (Simple
Network Management Protocol), Algunos fa
bricantes tienen sus propios protocolos. como
es el caso de Cisco con CDP. Sea cual sea el No es necesario tener conocimientos avan
protocolo o la herramienta que utilicemos. es zados sobre configuracin de dispositivos
importante tener un inventario y estar al tanto de red porque este es un tema bastante
del estado de cada uno de los equipos que complejo. Pero es estrictamente imprescin
componen la red. dible tener buenos conocimientos acerca
Debemos ser cuidadosos con respecto a los de los protocolos ms utilizados. como
puertos y servicios que habilitamos en nues TCP/fP. y de los pasibles problemas de
tras dispositivos. y tratar de que sea la menor seguridad que pueden presentar. asf como
cantidad posible. adems de configurar aoe de sus soluciones.

cuadamenle las interfaces de administracin

Cuando nos encontremos con ta tarea
de tener que seleccionar una solucin de
tetecomumcectones. debemos tener varios
factores en cuenla antes de lomar una
decisin. tanto de los equipos como de
las lecnologfas que vamos a ulilizar. Una
cuestin muy importan/e para considerar
es el soporte que tendremos en caso de
que se presente un problema o tengamos
alguna inquietud. En este senlido. debe
mas considerar tos planes de soporte que
podemos contratar, tanto del fabricante.
como de partners o consu/lores esoeasu-
zados. Para esto es fundamental tener en
cuenta cules son los niveles de urgencia
que podran lfegar a presentarse y la
canUdad de recursos econmicos de que
podemos disponer. Si nuestras necesae-
des son grandes. podramos optar por
contratar a un nuevo empleado que se
especializara en dicha solucin. siempre
analizando los costos y beneficios
de esta alternativa. Tambin de
bemos considerar como factor
de importancia fa documenta
en existen/e. tanto la oficial.
como fa que se encuentra foros.
sitios web y otras publicaciones
independientes.
para asegurarlas como corresponde.
PORT SECURITY
Esta es una tecnologla que se encuentra osporu
ble en varios modelos de swltches.Algunos per
miten realizar configuraciones ms personaliza
das que otros. pero la mayora ofrece lo sigulenle:
Lista blancade MAC: permitedefinir qu oree-
corves MAC pueden conectarse a qu puerto
fsico del switch. Es verdad que los usuarios
avanzados podrn modificar su propia direccin
MAC. pero esta es una medida de seguridad
adicional muy lil.
Lista negra de MAC: permite definir qu dlrec
cin/es no podrn conectarsenunca a la red
>1 Aprender MAC: es posible definir que solamen
te las direcciones MAC conectadas en un mo
mento puedan establecerconexiones.en tanto
que los nuevos dlsposltlvosestarn bloqueados
Configuracinremota:bloquea los dispositivos
que puedenadministrarel equipo en forma remota.
El siguiente ejemplo de configuracin para un
switch Cisco nos permiteconfigurar Port Secutv
en un determinado puerto.definiendo la direc
cin MAC permitida y la accin que se tomar en
caso de que se detecte una violacin: deshabili
tar el puerto (shutdown)
 Figura 4. Juniper
Networks es otro
reconocido fabricante
de equipos de
telecomunicaciones.
La empresa desarrolla
su propio sistema
operativo de red
(JunOSJ y cuenta con
equipos de grandes
prestaciones
(www.junlper.net).

swltchport portsecurlty Port Security tambin impide que pueda reah

swltchport port-securlty mac-address zarse un ataque de CAMOverflow. en el cual la
DIRECCION_MAC memoria CAM del switch se llena. y este empieza
swltchportport-securltyvlolatlonshut a trabajar como si fuera un hub. enviando lodo el
down trfico a todas las interfaces. Esto permltlra que
un atacante viera informacin confidencial.

rn111r.
)+t 11
, lntcgrllldVUIMr~billtySc.mnlng
Pcn~lrnlionTcstmg&Clicckl1slCompl1<111cc ~'
,

Top 100 Network Security Tools

AnirU111 ti~mvnllO\lllf il\lC~llnl\11 :!0001111 200~ vttunt.ytQQlv vu1w)'ll. lnw~ur11.0r9 1~ lllOll\lhtllll (o rr.lHH U11v :IOO!J
r.t11Vt1Y. 1 Cl'y<>dQr) u~lld uMrn trcm thn nm~?hack11m ma11lnq lit:t. to r.harn the1r r.wonte toolg. and ~.~~3 f'<'IOple lllllJl<mded.
Thl~ allowcd moto oxp~nd tno llst to 100 too~.Jnd ccon ~ubdMdo tnem lnto c~tco;Jori09. Anyono In me sccunty nold woutd
I)& w"lt 11dv1Nl lt> e 0\1\r lt1 lit ~~d mvetiUI to<>IB U\ey u" unra1nloorw1th 1 <l1C<'Jv~red severI !"""'rl'l.11 new lotll
thi~wily. J itl~o pointnow~o te thl~ ~ito whcnovcr thay writ<'""'nying 1 dont know wl>Qro tQ otart'.
Ra&pondentll were allowed t<:> hlt<:>pen ~O\m;e or eommeri:1 tool on any pl~trorm. Commen:1aL toolg ~"' r.ot11d u uc~ '"
tho llot bolow. No vot06 ror tnc NmJpSocurlty scanncr wcrc ccuntcd bcccusc tho Gurwy wae taxn en a NmJp millllng 1!6t.
Th19audi11nc11alw b'~""mt1111i1t3li11hUy l<wlard elt.llck h~olun11 t.ool~raUlerU"'n d<Lfen91vucne

Eilchtool!cdow;rlbodbyonooromoroilttnbut(IG:
l)ldnot~J>l)l!aronUle:IOO~llOt
ti Populanty !'~:1k11111 tl'O>IU l full U1e 11we1111urnuer:m1ce t.hu :.ioo~ uivey
$ GcnorilllY eese monoy. A rroo limmxl/domotttfaL versin may 00 JvJilablo

Figura 5. Este famoso sitio mantiene una lista con un ranking de las 100 mejores herramientas de seguridad para
redes. Resulta de mucha utilidad como referencia. Actualmente, la lista es encabezada por Nessus, Wireshark
y Snort Nmap no se ha incluido, debido a que est desarrollado un recurso por las mismas personas que
realizaron la lista. (http://sectools.org)
 Siempre debemos En Internet hay disponible una gran canti
analizar cuidadosamente dad de documentos con mejores prcticas
de seguridad. Debemos ser cuidadosos
la documentacin de acerca de las fuentes de informacin que
los dispositivos con los ulilizamos y verificar que las configura-
ciones funcionen bien en un ambiente de
que contamos, para pruebas antes de lfevar/as a un amblen/e
estar al tanto de las productivo. Algunos de los documentos
mejor redactados y ms confiables son los
tecnologas que soportan, desarrollados por ta NatlonalSecur/ty
e implementarlas si Agency(NSA. (www.nsa.gov J. Enlre
otros. se han publicado gulas de configu
consideramos que nos racin para roulers v swllches Cisco. varios

resulta conveniente sistemas operativos y aplicaciones

DHCP SNOOPING
Esta tecnologa permite a los swltches analizar
los mensajes OHCP. y aprender las asociaciones
entre direcciones IP y MAC. La idea principal es
que el switch permita trfico DHCP solamente
con servidores DHCP autorizados.
Este tipo de tecnologa marca la nueva tendencia
de los switches inteligentes. segn la cual el dls
positivo no solamente se limita a retransmitir pa

[U,..,~,.. ,,.......,...,,..,,..,
Figura 6. El sitio web
COSI es un excelente
lugar en el que se
pueden encontrar
watcomato COSI
varias herramientas
de cdigo abierto
desarrolladas
,..<
,~- <"
, ......
_,,,...,...o-.._.,,- ,
~---
4
~~ ,..,.._ .. ..,_
~ - -
~...,, ...,
.,,-

para trabajar con

8 equipamiento Cisco,

~ adems de algunos
otros recursos
=> relacionados con la
~
D
w
marca (http:tfcosinms.
41) sourceforge.net).
quetes. sino que tambin se encarga de analizar
el trfico y bloquear los ataques ms comunes
El DHCP Snooping tambin bloquea los ata
ques del po DHCP Starvation. en los cuales un
atacante enva muchsimas peticiones DHCP
con el objetivo de agotar todas las direcciones IP
disponibles en el servidor
CUENTAS DE ACCESO
CENTRALIZADAS
Cuando tenemos que
administrar varios
dispositivos, es una
excelente idea centralizar
nuestra base de datos de
usuarios,
para poder asignar perfiles y simplificar nuestra
tarea de altas, bajas y modificaciones.
La siguiente configuracin nos permite definir
un servidor TACACS+ para autenticar a nuestros
usuarios en un router Cisco
aaa newmodel
aaaauthentlcallon logln defaull tacacs
local
aaaauthenticatlon logln consoleport
none
aaaauthorlzatlon network taca es
tacacsserver host 10.6.101.101
tecees-serverkey cisco
Esto nos ser de utilidad no solo para nuestros dls
positivos de telecomunicaciones. sino tambin para
todos nuestros servid Oes y otros equipos que re
quieran ser gestionados. y para los cuales pooemos
elegir entre varias tecnologas de control de acceso.
Detallamos algunas de ellas a continuacin.
Es de suma importancia que unifique-
mos los usuarios v perfiles de acceso en
una misma base de datos, tanto para los
dispositivos de telecomunicaciones. como
para los sistemas operativos. Esto reduce
la posibilidad de cometer errores. v nos
permite enfocar nuestros esfuerzos en un
nico lugar. lo que simplifica el lrabajode
manera notable.
TACACS+
Es un protocolo desarrollado por Cisco. que nos
provee de autenticacin. autorizacin y registros
(en ingls. las siglas AAA). Utiliza el protocolo TCP
para el Intercambio de datos. El trfico es encrlpta
do para brindar mayor seguridad a las comunica
cienes enlre los clientes y el servidor.
Podemos encontrar un servidor de TACACS+ de
cdigo abierto en www.shrubbery.net/tac_plus.
RADIUS
A diferencia de TACACS+. Radlus utiliza el
protocolo UDP para el intercambio de datos. y
unrca los procesos de autenticacin y autori
zacin. lo cual presenta dos desventajas. Pero
sigue siendo una buena alternaliva. Podemos
encontrar un servidor Radius de cdigo abier
to en http:ftfreeraidus.org. Adems. Micro
soft Active Oirectory puede ser configurado
para brindar servicios de Radius utilizando su
base de datos de usuarios
DIAMETER
Este protocolo es el sucesor de Radius. y cuenta
con grandes ventajas. tanto sobre su predecesor
como sobre TACACS+. Est encrlptedo con TLS.
permite notificar errores. soporta servicios con
roammq y es extensible para poder agregarle
nuevas funclonaucaoes. Podemos encontrar un
servidor Oiameter de cdigo abierto en www.
freediameter.net
UTILIZACIN DE
SERVIDORES SYSLOG
Una de las formas de contar con un registro de
todo lo que sucede en nuestros equipos de tele
comunicaciones es definir un servidor de syslog
para que todos los logs sean enviados a l. Estos
parmetros podemos definirlos en un router
o switch de la empresa Cisco. aunque la gran
mayora de este Upo de dispositivos. de cualquier
fabricante. permite estas configuraciones. Y es
muy sencillo configurar un servidor syslog en
cualquier sistema del Upo UNIX. Con los siguien
tes comandos podemos definir en un router o
switch Cisco a qu servidor svsloq le vamos a
enviar los logs:
logglng IP_o_Hostname
logglng rectv local7
logglngon
FIREWALLS
El concepto de firewall ha cambiado mucho en
los ltimos aos. y ha dejado de ser algo tan
simple como filtrado por origen. destino y puer
tos. para pasar a abarcar equipos o aplicaciones
muchsimo ms granulares, que. incluso. llegan
a inspeccionar el contenido de los paquetes que
pasan a travs de ellos e interpretan los proto
colos utilizados para la comunicacin. Es por
eso que debemos aprovechar al mximo estas
nuevas capacidades. para incluirlas dentro de
nuestras medidas de proteccin.
Es preciso tener en cuenta si vamos a selec
cionar un dispositivo del tipo UTM (Unified
Threat Managementl. que contiene varias
capacidades en un mismo equipo. como anti
virus. antlsparn, filtrado web. y muchas otras:
o si vamos a optar por instalar un equipo para
cada funcin importante. Esta es una de las
cuestiones que se nos pueden presentar al
llevar a cabo la tarea de disear las medidas

El 51 % de las empresas de proteccin para una red.

utiliza alguna solucin para
la administracin de logs
(Fuente:CSIComputerCrimeandSe<:uritySurvey)
La decisin que tomemos deber estar basada
en nuestras necesidades. Por ejemplo. en caso
de que precisemos capacidades avanzadas de
filtrado sonsoerny vayamos a manejar una
cantidad muy grande de correos electrnicos.

Figura 7. Fortlnet
es un fabricante
de dispositivos
de seguridad que
cuenta con una gran
reputacin, y una muy
buena relacin de
calidad y precio (www.
tortmet.comz
ser recomendable contar con un dispositivo
dedicado a estas tareas
En cuanto a la seleccin del firewall que
vamos a implementar. si bien muchos nuevos
productos ofrecen muchsimas capacidades,
Debemos considerar las otras caractersticas
como adicionales. y evaluar si verdaderamente
sacaremos provecho de ellas. Cabe destacar que.
a mayor cantidad de caractersticas. mayor ser
la dificultad de adrnmstracn y mantenimiento,
adems de que mayor ser la probabilidad de
que se presenten fallas en el dispositivo.
Con respecto a las configuraciones por

' ' el filtrado por defecto. y como debe hacerse en todos los

origen, destino y
dispositivos. los firewalls tienen que denegar
todos los accesos que no hayan sido

puertos bloquea
expllcitamente permitidos. Esta regla
tambin se conoce como Den y by

la mayor
defauflo denegacin por defecto
Es uno de los principios que nos

parte
permitir mejorar nuestras tareas
de todos los dlas. porque nos fuer
za a conocer exactamente qu es
delos lo que permitimos y por qu 10 ha

accesos
cemos. Por ejemplo. si debemos permitir que un
equipo acceda a una aplicacin remota. debemos

malintencionados permitir que solo ese equipo acceda nicamente

a las direcciones y puertos que se van a ulzar
para dicha aplicacin. ni ms ni menos

lit<lr'\IUoo....,rklJl>clt!:!lll

ID~"''""'
1C ji;io..,<l'llntS.wmyll "j +

~H~~=
11

g9~<;~f9.j~,t
(JU(lo-
Check Point ::::~ .....
"'""" .._ Figura 8.
:::::~.::. "
u.""~~ri.,.~ Checkpoint es uno
de los fabricantes de
Pl'oduclShowcaM ,,,,.,. dispositivos de tipo
firewall ms destacados
en el mundo. Cuenta
con excelentes
productos y siempre
es pionero en agregar
nuevas cerectertsuces a
sus eaumos

''
Al crear reglas
de filtrado,es de
suma importancia
que lo hagamos
de la formams
especficaposible
Si no podemos contar con un appl/ace de
seguridad poaemos optar por Instalar
algunas de las alternativas de cdigo
abterto. que han demostrado ser ex
ce/entes productos. Muchas de ellas
ofrecen versiones pagas. que incluyen
funciones adiciones. Algunos ejemplos
son: mOnOwall(http://mOnO.ch),IPCop
(www.lpcop.org) y Untangle (www.un
tangle.com). Para consultar una lista ms
compfeta y detallada. podemos visilar:
http://en.wlklpedla.org/wlkl/Llst_of_
router_or_flrewall_dlstrlbutlons
41% de las empresas
terceriza la administracin
de firewalls
(Fuente: KPMG lnformationSecuritySurvey)
En caso de que no contemos con los recur
sos econmicospara adquirir un disposilivo
preparado especficamente para trabajar como
un firewall. podemos utilizar un router o un
servidor con alguna distribucin de GNU/Linux
o BSD. Las ventajas y desventajasde cada una
de estas opciones se explican en el apartado
'Diseo de redes seguras".
REDES INALMBRICAS
Otra de las nuevas comodidades tecnolgi
cas requeridas en muchas organizaciones
son las redes inalmbricas. que simplifican las
conexiones al evitar la presencia de cables.
aunque tambin aumentan el campo de
conexin disponible para las personas mal
lntenclonades.
A diferencia de lo que muchas veces se cree.
las redes inalmbricas pueden tener una muy
buena seguridad. si se las configura corree
Lamente. Cualquier informacin que circule por
la red sin ser encriptada. puede ser fcilmente
capturada por una persona que est relativa
mente cerca de los dispositivos que transmiten y
reciben los datos.
Las creencias de inseguridad en este tipo de
redes se fundamentan, principalmente. en que
los primeros protocolos de conexin no eran
robustos y presentaban fallas que volvan muy
fcil el ataque. En la actualidad. Jos protocolos
se han mejorado y brindan excelentescarac
tersticas de seguridad
Todas las vulnerabilidadesque existen en las re
des cableadasse aplican a las redes lnatrnbrt
cas. Pero esto no funciona a la inversa. porque
las redes inalmbricas presentan nuevos rtes
Figura 9. Aqu/ podemosver cmo utilizamosla herramientaKismet para conocer rtJpidamenreculesson las
redes !naltJmbrlcasque estn a nuestro alcance.Hechoesto. podemosanalizarms a fondo la configuracinde
cada una de e/las.
gos. al tener un medio de transmisin comparli
do por todos (el aire). Es por eso que debemos
tener algunas consideraciones especiales. que
podemos ver en la siguiente lista:
Modificarlos551D que vienen por defecto
generalmente. tos SSID que vienen por defecto
brindan informacin acerca del punto de acceso
que podra ser utilizado por un atacante para
buscar vulnerabilidades.
No publicarel 551 Den modobroadcast:esto
har que nuestra red no sea tan visible. aunque
puede ser encontrada por programas especiali
zados en deteccin de redes inalmbricas
Modificarperidicamentelas clavesprecom
partidas: har ms difcil la tarea de crackear las
claves. porque le dar menos tiempo al atacante
para hallar la clave correcta.
Implementar mtodosde autenticacin
fuerte: contando con servidores LDAP o Radlus
para la autenticacin. nos permitir identificar
fcilmente al usuario que est conectado a la red.
Tambin podemos utilizar smarL caros y tokens.
Utilizar WPA/WPA2en lugarde WEP:es am
pliamente conocido que la seguridad que ofrece
Debemos visualizar las redes inalmbrieas
como un lipo de red ms. y dejar atrs et viejo
mito de que ulilizarlas Significa hacer que nes-
tra red se vuelva totalmente vulnerable. Siempre
tenemos que estar abiertos a implementar este
tipo de conexiones. porque actualmente son
necesarias para el buen funcionamiento de la
ma)'Oria de tas organizaciones.
 Figuran.
FlukeNetworks ofrece
una gran cantidad
de productos para
el anlisis de redes
inalmbricas. Desde OptiView XG Network
software instalable
en una PC, hasta un
~'!:.~roSt~:~~O~ltlO
a~p11: .. 1on...-,.11s~""'NH_.,
r1twc1M 1~~
Engln11~1l11ln!w~101eer~oeuH
.,, ..._ _,,,_,.,,J.._,,,,,,.,,,,,.,,,
dispositivo del tipo
........, ...........,,._ ...._,,,ft
tablet desarrollado . ""'""'~""'"~'""''""""''""""'"
::~~~.';,~:;:;.t~::::,' .r'"?"
:::~:::~""'"'"""'~'''""""""'

~ifl~[~~;;;:;"
particularmente
para analizar este
tipo de redes (www.
uukenetwcrks.ccmi .. + ".

el protocoloWEP es casi nu!a. WPA y WPA2
brindan una mejor seguridad.
Implementar las Ultimas medidasdlsponlbles:
este tipo de tecnologas evoluciona constan
temente. asl que debemos estar al tanto de
las nuevas capacidades que brindan nuestros
equipos. Como podemos observar. muchas
de estas medidas simplemente complican un
poco la tarea de un atacante en su camino al
xito de romper la seguridad de una red. Es
por eso que

Figura12. En fa
_ ... e.. _, ;:})
captura de pantalla
'"'""'""~"" !11K1,,,....,.):l!M~I
podemos ver cmo """'E"'""';QJ(l"<1,.lon0.S)
se encuentran E"""~H... oo\11\"'lo" liJ (.Ohooo.. dthoS!ll~8"'"'""'~

configuradas algunas
de las opciones de
seguridad de la red

8 inalmbrica en un

~
router Olink DIR
300.Algunas son
=> WPA2, SSID oculto. el
~
D
w
cifrado de trfico y el
41) protocolo PSK.
Figura 12. Alrcrack es un software de cdigo abierto muy utllfzado para romper la seguridad de redes WEP y
WPA. Podemos utflizarlo para verificar qu tan dificil es acceder a nuestras redes inalmbricas. En la Imagen,
podemos ver cmo fue uttttzeaopara encontrar la clave de una red, y ha tenido xito. Adems de Alrcrack, el
proyecto incluye algunas otras utllldades, como Airodump y Alreplay. (www.alrcrack.ng.org)

Es habitual que los empleados conecten

routers inalmbricos a la red cableada. con
''debemos el objetivo de ulllizar sus smartphones o

seleccionar
los
PDAs. Al hacer esto. no suelen tener
recaudos de seguridad necesarios. y el

cuidadosamente
resultado es una red inalmbrica insegu-
rs. que ooaite servir como puente para

las configuraciones,
acceder a los recursos de la red de rea
local. Enlonces. un atacante podria eprove-

manteniendoun
cner para acceder a nuestros recursos con
suma facilidad. Como el costo de tos rones

buen balance entre

inalmbricos es bastante bajo. muchos
empleados adquieren este tipo de equipos
d d 1
1 a segUn a y a
por su cuenta y los instalan en las oficinas
sin notificarloal persona/tcnicoEs por eso
1 d d d 1 d

l
usab 1 1 a e a re f:cualpodemosrestrmg1rlospuertosde
!":- """
que debemos evitar que lo hagan para lo

los sw1tches de modo que cada uno

~ :; de los atsoosmvos conectados a ellos

=:
Tambin es importante analizar pendicamen _,./ deba ser previamente etcaeeao
te nuestra red en busca de disposnvos ' Adems. que escanear
sospechosos o configuraciones dbiles en forma aenoaice las redes
inalmbricas disponibles para
\ detectar redes sospechosas.
 PREVENCIN DE INTRUSOS
Una de las tecnologias ms avanzadas para
proteger nuestras redes es la deteccin y preven
cin de intrusos. que nos permite trabajar de for
ma inteligente. analizando el trfico y bloqueando
los ataques automticamente. Estos sistemas son
complejos y puede llevar un tiempo configurar
los. pero son capaces de brindarnos un excelente
nivel de seguridad al trabajar de forma automati
zada y proacuva. La decisin de instalar o no este
Upo de soluciones depender de la complejidad
de la red. nuestros recursos y necesidades.
Los sistemas que solo pueden detectar ataques
se conocen como Sistemas de Deteccin de
Intrusos (105). y los que pueden tomar acciones
para bloquear estos ataques se llaman Sistemas
de Prevencin de Intrusos CIPS). Obviamente.
los IPS son bastante ms complejos que los IDS.
y requieren de mayor atencin al configurar
se. porque pueden bloquear trfico legftimo e
impactar negativamente en la operatoria de la
organizacin. Es comn referirse a ambos tcos
de sistemas. simplemente. como IDS. y as lo
haremos a lo largo del libro.
La implementacin de este tipo desiste
mas debe verse como opcional. debido a
que no todas las organizaciones necesitan
las tecnologfas para prevencin de intru-
sos. Antes de implementarlos, tengamos
en cuenta todas tas necesidades de
nuestra organizacin y los recursos con
los que contamos para llevar adelante un
proyecto con estas caracterfslicas.
Muchos IPS permiten trabajar temporalmente
como si fueran IDS. solo notificando los ataques
detectados. lo que nos da la oportunidad de vi
suatizar cmo funciona la solucin y configurarla
correctamente. para luego habilitar las capecica
des de bloqueo. Esto es algo recomendable para
iniciarnos en la configuracin y puesta a punto
de este tipo de sistemas.
Los 105 pueden estar basados en nost CHIDS).
que se instalan en un servidor para analizar el
trfico y las acciones realizadas dentro de l para
detectar ataques. los cuales evaluaremos en el

Figura 13. Snort (www.

snort.org) es el IDS de

~.. ;. ,_.~-
cdigo abierto mas ""'""''"" w<~ _.,.
""'IOllllo!..,., >I
l
< ILa-00<1 .. -. .....
reconocido. Cuenta
'' ,~
con varios aos de
desarrollo y excelentes ..., ""'""'"'"' ,... ' .,,.,_, .., ...... __,_
""'""'"'"'""v ...,,~ --
capacidades de

~............... ,~.,..
I~ :: .. --~
deteccin. En ta imagen
..... ..
,.,,,., ~,
. ,.,,,._.,.....
"m ''
. ~ .~.... ..,_
podemos observar '"" _,..,., ,..._...., _ _,,,.,_,

cmo se utiliza la
interfaz Sgull para

interpretar las alertas
'~
de Snort. en la que
podemos ver varios
.
, , .,., ...
ataques del tipo MS
SQL versfon overflow,
como el que esta
e sealado.
 ;;
Figura 14. En el
diagrama podemos
observar claramente ~
cmo un dispositivo del ~
tipo IPS queda ubicado ~z
de forma tal que pueda o
tener la capacidad de
bloquear conexiones, y
~
entonces permitir o no ~
el paso del trfico. En
cambio, un IDS queda
ubicado por fuera de la
red, y recibe el trfico
con el nico objetivo
de efectuar anlisis y
reportes.

siguiente capitulo. Tambin pueden estar basa un analizador que reconoce distintos patrones
dos en red (NIDS). que se utilizan para analizar el de ataque. ya sea analizando un archivo de logs.
trfico de toda la red en busca de ataques entre un comportamiento del sistema operativo o las
dispositivos. Desde el punto de vista del funciona caractersticas de los paquetes enviados de un
miento. un 105 puede verse. simplemente. corno host a otro. Esto se debe a que. muchas veces

olSF Open lnformatlon Security Foundatlon

lll00 ... 11 .... IO<l...

<lyl ..... llllOo(,_llO .. , ..... ,, .......... .,p11 .. loOU1110 .... _otlO<l.,._.,.....
.,..TllOO"f"H

'"""'""..,,..'""""""'"'"""'""'''""''"'" ..tur"'""""'''''"'"""" ...."'""'"'''""..,.,..,.,,.,~,01

IOIM<>l>""'"'""''""'"'"""'"'"""'"""''""'ll'"""""''t"''"""'""'''''"'""'"""""'I'".,,,'""'"'

Figura 15. Surlcata

es un /OS de cdigo abierto desarrollado por la OpenlnformaUonSecurlryFoundarion
,
que implementa novedosas tecno/oglas de deteccin (www.openinfosecfoundation.com).
 IMPLEMENTACIN DE
SISTEMAS IDS
Una de las consideraciones ms importantes
para tener en cuenta antes de Implementar
un sistema de este tipo. sacar es determinar
si verdaderamente lo necesitamosy si vamos
a poder contar con los recursos humanos
necesarios para poder administrarlos.
Una vez decidida la implementacln, debemos
seleccionar un producto. teniendo en cuenta
particularmente cules son las cerecrerences y la
complejidad que presenta. para determinar si es
lo que se ajusta a nuestras necesidades.

nos sera ms corwenerae seleccionar una

solucin simple y sencilla que una mucho ms
compleja.aunquela segundatenga mscaracte
rtsucas que la primera.
Debemosprestar atencin a lc1s nuevas
tendencias acerca de este lipo de tecnoto
gias. Existen sistemas como Prelude (www.
preludetechnologles .comJ
que se llaman
IOShlbridos y cuentan con capacidades

' ' En la seleccin

para detectar intrusiones analizando
varias fuentes de informacin al mismo

de un IDS debemos tiempo y relacionndolas. Estos productos

son algo as! como una mezcla entre los

tener en cuenta, 105 y los SfEM. Es muy recomendable

que analicemos estas soluciones. porque

las capacidades podra ser difcil mplemenlarlas. pero ler

minarla por enorremos muchsimas horas

de deteccin y de trabajo y nos aportarla un excelente

nivel de seguridad.

bloqueo de ataques,
la facilidad de
configuracin y las
capacidades de
monitoreo
Este tipo de sistemas suele tener un costo
elevado. por lo que recomendamos realizar una
primera aproximacin a estas soluciones a travs
de algn proyecto de cdigo abierto (Snort
puede ser la opcin ms vable). Una vez que
hayamos realizadodichas pruebas.estaremos
en una mejor posicin para decidir si precisamos
este tipo de sistemasy si vale la pena optar por
una opcin comercial. o si nuestrasnecesidades
son cubiertas con el productogratuito.
Cualquiera sea la decisin. tengamos en cuenta
que un sistema IDS puede facilitarnos ladas
nuestrastareas. y que podra ser una decisin
inteligenteasignarmuchos recursos a instalar y
mantener esta solucin.
ADMINISTRACIN REMOTA
Una de las caracterislicas ms utilizadas por
los administradores de red para simplificar su
trabajo diario es el manejo remoto de los equipos
de telecomunicaciones.lo que permite gestionar
toda una red desde la comodidadde una nica
terminal. Este tipo de protocolosy herramientas
son necesarios.pero deben ser utilizados y con
figurados con cuidado, porque suelen estar den
tro de los principales interesesde una persona
malintencionadaque busque atacar nuestra red.
Dependiendo del fabricante. cada dispositivo
puede contar con varias interfaces de admi
nistracin. como SNM P. SSH. interfaces web
y protocolos propietaros. Es de suma impor
tancia que utilicemos solamenteprotocolos
que encrtpten el trfico. como SNMPv3, SSHy
HTTPS_ Adems. debemos tomar los recaudos
necesarios acerca de la fortaleza de las contra
seas por utilizar.
De ser posible. es recomendable seleccionar
un mtodo de gestin que nos permita auto
matizar tareas de rutina. como lo son lasco
pias de seguridad de conquraclones.Varios
fabricantes cuentan con herramientas propias.
que suelen limitarse a gestionar sus equipos.
Existen soluciones en el mercado compatibles
con varios fabricantes. Si optarnos por utilizar
herramientas multtlabrlcante. debemos ver
ficar que sean soportados todos los equipos
presentes en la infraestructura
En el caso de los dispositivos Cisco. es recomen
dable habilitar la administracin exclusivamente
por SSH versin 2. bloqueando tanto la versin
1 de este protocolocomo el protocolo 'telnet
Abajo vemos un ejemplo de cmo realizar esto:
crypto key generate rsa
lp ssh verslon 2
lp ssh cnretrles 3
lp ssh logglng events
llnevty04
transport Input ssh
Con la siguiente configuracin establecemos:
1.Generar las claves RSA para utilizar con SSH.
2. Utilizar solamente la versin 2 de SSH.
3. Permitir solamente tres intentos fallidos de
conexin.
4. Guardar el registro de eventosde SSH
s. Configurar las lneasvtv 04.
6. Aceptar administracinsolo por SSH(produce
el bloqueo de Telnet).
El hecho de que un dispositivo admita
ser administrado en forma remota no
tiene por qu implicar una vufnerabilidad.
Simplemente.debemos configurar los
accesos de la manera mds segura posible.
encriptando el trfico. y permitiendo
ncememe las conexionesdesde equipos
confiables.As lograremos un buen balan-
ce entre seguridad y usabifidad.
 Figura16. El
software de cdigo
flux org ~ '"'"' .....
abierto RANCIOnos
permite descargar
automticamente
la configuracin de
nuestros dispositivosy
almacenar un historial
de versiones. que
.................. ,. ~ ~, ,.. "''"'' ~ ,~<1 ~.."', .
muestra las diferencias "'::~~:...~u:~"'.\ :;.,,.,.,,\"~~'1.~ll";;':~,",t: ',~:l,i;;:.;,::~l'r:.",'.t..::o;..,"'~,r.,n.:;';!:-,:) ::.!':.".
entre una y otra (www. ;.;i;;,;~.7.'.':::::"" ... .,._. ........... ~.. ,,,.,"""'""'"'"""'"'""'""'"'""""'"'
shrubbery.net/rancid)

Al habilitar usuarios para poder acceder a los
dispositivos y gestionarlos. es necesario tener en
cuenta la implementacin de permisos y perfiles,
para que cada uno pueda acceder solo a las
funciones que necesita para realizar sus tareas
diarias. Tambin es de suma importancia guardar
un registro de todas las acciones realizadas
sobre los equipos. de modo de peder analizar
posteriormente cualquier anomalla o cambio de
configuracin no autorizado.
nica manera disponible era a travs de la
linea de comandos o CU (Command Une
Interface). Con el correr del tiempo. se fueron
desarrollando las TUI (Text User Interface).
que. bsicamente. son Interfaces de texto un
poco ms amigables. con mens y ayuda por
pantalla. Con la gran explosin de los entornos
de escritorio. vinieron las GUI (Graphic User
Interface). que presentaban ventanas. botones
y nuevos componentes que hacen ms raen la
Interaccin para el usuario. En los ltimos aos

CU VS. TUI VS. GUI VS. WUI se han puesto muy de moda las WUI (Web
User Interface).muy similares a las GUI. pero a
Existen varias formas de interactuar con un las que se accede a travs de un servidor web
dispositivo o sistema. Hace muchos aos, la Hecha esta pequea diferenciacin de trminos.

Figura 17. ASDM es una

...
herramienta desarrollada
por Cisco, que ofrece la
capacidad de gestionar
sus dispositivos de
seguridad. El cliente se
ejecuta sobre plataformas
Microsoft Windows. En
la imagen se muestran
algunos de los datos
que aparecen en el
panel principal, como las
sesiones VPN. e/ trfico,
el consumo de recursos y
el estado de las interfaces
e de red. (www.cisco.com)
 ----
Figura 18. IBM Tivoli es
10 .. X i=U-!51,.,..r.Nttworl< ... Xi+
........~ .. ....,., un software avanzado

_-
!,,9,!11, -"'~" que permite gestionar
nuestros dispositivos
J s;;er,~7':rkand DeviceManagement de telecomunicaciones,
. . . . . ..........
. .. _hl< servidores y otro tipo
de equipamiento
(www.lbm.com).

O--

podemos decir que. actualmente. en el caso
de los sistemas que estn pensados para ser
accedidos por personas con altos conocimien
tos tecnolgicos. an predominan las interfaces
por lnea de comandos. St bien es cierto que
la mayora de dichos sistemas cuenta con GUI
o WUI. estas no ofrecen la misma cantidad
de opciones que las CU. Por ejemplo. en los
routers y firewalls. es muy comn que las
opciones ms importantes y de uso frecuente
estn disponibles dentro de la configuracin
por interfaz grfica. pero existe un nmero de
opciones avanzadas y de uso no muy frecuente
que solo pueden ser accedidas a travs de la
lnea de comandos. Por lo tanto. es ameerren-
te recomendable que nos familiaricemos con
este tipo de interfaces. Aunque no vayamos a
utilizarlas en nuestras tareas diarias. adems de
presentar opciones que no estn disponibles a
Lravs de otras interfaces. suelen estar disponi
bles siempre. porque son muy simples. Por el
contrario. las interfaces GUI y WUI pueden ser
inaccesibles en ciertas circunstancias.
Por ltimo. otra de las grandes ventajas de las
CLI es que nos permiten automatizar tareas fcil
mente. a travs de lenguajes de scriptlng como
Python. Peri y Ruby. Esto nos permitir. por
ejemplo. realizar funciones de backup reportes o
tareas de mantenimiento de forma programada
y sin interaccin del personal.
PROTOCOLOS TCP/IP
Adems de los protocolos IP. TCP. UDP e ICMP. la
suite de protocolos TCP/IP contiene otros com
ponentes fundamentales en las arquitecturas de
red de todo el mundo. Es por eso que debemos
prestarles especial atencin y conocerlos a fondo

An~llsls de seguridad de In fomllln uc prctoeclos TCl'/IP

rsussl'n'icios:isol'i1u.los

Figura 19. Este libro

gratuito, escrito por
Ral Siies Pelez,
hace un anlisis de
seguridad del conjunto
de protocolos TCP/
/P. Se encuentra
disponible en www.
portantier.com.
Figura21.Ef sitio
wlki de Cisco alberga
""'""-~
. .~
..,.,....."""' .,,.,.......,, ..

un interesante
documento llamado
tnternetworking
Technology
Handbook, que
explica los protocolos
relacionados con
las redes y su
funcionamiento
(http:f/docwikl.
cisco.com/wlkl/
lnternetworking_
Technology_
Handbookl

si pretendemos ser verdaderos profesionales presentaba varias vulnerabilidades. Adems.

de la seguridad. Algunos de los protocolos que
seguramente utilizamos dentro de nuestra orga
nlzacln son DHCP DNS. SSH. HTTP. FTP. SMTP.
POP3. IMAP SNMP y SSLITLS. A continuacin
analizaremos cada uno de ellos.
cuenta con diversas capacidades avanzadas.
como copiar archivos y redirigir el trfico a otras
aplicaciones. para crear un tnel seguro.
Es muy habitual usarlo para acceder a servido
res UNIX y dispositivos de red como routers.
switches y rewalls. La versin recomendada es

SSH la 2. porque la 1 presenta algunas vulnerabilida

Secure Shell es el nombre tanto del protocolo
como del programa que fo implementa. y sirve
para acceder a los dispositivos a travs de la red.
Es un reemplazo para el protocolo Telnet. que
des graves. Es de suma utilidad saber utilizar este
protocolo. las herramientas y las capacidades
adicionales que posee. Se encuentra disponible
para gestionar tanto dispositivos de red como
sistemas operativos UNIX.

Figura 21. OpenSSH es
la implementacin de
SSH ms utilizada en el
mundo. En el sitio web
~il:U.flrooo-Fo<>:'""'~.20lll=><>P"HW<J~t1'4>r/
l'l>.'laOJl~.l>.11112 .. IOMOOMYl.1;1!1...,:.0/'-'""'""l)'ll>'.J
~~,5~g~~~~1f~s~f4r~EJf7:I;~~i~Jf:~g;:n.
"'""'~',...,.
rnoOj>OnssH'""""'P"-""llln.,d:.OlootWltn:Munpro~f~n r<pwMco. .,. r.;i><.:no.':D. lloonoi:n
~.
1..... ro:tolh1>0<ll..,mol14othrOln-Mlllll:ullolatbl:llJll:~"""""'11.:llh.lw:WlM

del proyecto podemos Opo'<l'E"d"""'-h>~T""'"'""'"d""'"-'~""'""'"_.,.._,,,,..,,,,.<m"'"'l"Ph>._'1,00"

encontrar gran cantidad
,,...,.,._.. ,b., n<I "'._,""''"''"'~" mu:oro am1-. ... u""~"''.....
ooolulll"""'"".. 1;>11'"""
'"""'"' ... """"'
.. 'l"'"'-'""'"ih1'i0:DU1t'"d"'tnb~lldlol-,,,,.,.i., f!i'"?'
~"
oolt"" Opor=i
''' A011tpmmr

de informacin de
"""'""'".,..,..,.,,.,.,,,,,,...,.,..on,..,,,...,..,"""'~"'~""""'""..,.'1""'~'"'"11"'~"'""""'"""''
<0..n,., .. p,o..douro..:h,..W..bo
...'" ..
..... tl1t1. rnp'ic<11wilhoul<hl"';t.oh11l1"goop""""Qhoi<">lo<'it1
<ontrdondMo..,rl'e';,_ 'T'hootl>ortoo,. tt.n"-""""'"'""""'"'""F-"tht..:oio<Sd11>QIM''goopito""'''lt
interes;esten: ""'""'""'-'"""""''"".o-lt..,1~ot'9dProt.N"""'""i$$IU .... l",
~".:'!~'.:~~-~~~=:""-S.lotltMooi"""...,hot.p<olund<P.,......,p.,.ot.Don!OO..-~doU..<<0nlnbul"'"'
www.openssh.com.
En el siguiente cdigo pOdemos observar cmo protocolos. Utiliza una mezcla de critpografa
se utiliza el estilo comando 'scp' (incluido en el simtrica y asimtrica para garantizar ta priveci
proyecto OpenSSH) para realizar la transferencia dad e integridad de los datos.
de archivos entre servidores. empleando canales Suele ser de mucha utilidad para proteger proto
encriptados. Se puede ver claramente cmo colas como HTTP y SMTP. que no fueron oesa-
se empleando claves criptogrficas RSA para la rrollados para proteger los datos que iotercam
autenticacin de los equipos b'an. Aunque debemos recordar que el hecho
de proteger el tranco encnptndolo no nos libera
fabian@debian:$ scp 192.168.0.115:./archlvo. de otro tipo de ataques. como la fuerza bruta. los
txt./ exploits. y otros
Authentlclty of 192.168.0.115 cen't be establis
hed
RSAkey flngerprint is Ot:18:46:a8:02:37:dc:6b
Entre 2008 y 2009 los
:e3:dd:e2:ba:c8:0c:bb:44. ataques de capturas de
Are you sure you want to contlnue(yes/no)?
yes
contraseas crecieron un
Added '192.168.0.115' tothe st of known 88%
hosts. (Fuente:CSI Survey2009)
fablan@192.168.0.115's password:
archlvo.txt
oo.oo
100% O O.OKB/s
SMTP, IMAP Y POP3
Estos tres protocolos son los mas ulilizados por
Adems de sep. podemos utilizar herrarnlentas las arquitecturas de correo electrnica El primero.
de entorno estilo comando grfico. mucho ms Simple Mal/ TransferProtocol.sirve para trans.
amigables. como WinSCP (http:l!wlnscp.net) portar los mensajes de correo. Los dos ltimos.
Internet Message Access Protocol y Post Office

TLS Protocol 3. son empleados para que los usuarios

accedan a los correos que estn alojados en los
Transport Layer Security y su predecesor. servidores. Como la mayora de los protocolos
SecureSocket Layer(SSU nos dan la posibili TCP/IP. estos tres envan y reciben la informacin
dad de agregar una capa de seguridad a otros en texto plano. por 10 que son muy vulnerables a

)> ~ I'~l'l<O"> _ ...... , !><' l~~ Figurazz. Stunnel

_, (lo;,,-,;~;;;;.~-;:-
nos permite proteger
~ "'""""" ""'"'' ~~-J'
'>N''" ..... te. .~...- ...OI <>~.. "'mb

1~~~,::'.:"'=:::::".': 1
stunn~lmultip!atfoJmSSLtunnallngproxy apl/caclones utilizando
TLS. Puede ser de mucha
utilidad para dotar a
nuestros programas
o servicios inseguros

~ de una buena capa de

seguridad, sin requerir
' mayores esfuerzos
(www.stunnel.org).
 Las tcnicas y mejores prcticas para luchar
contra el spam se discuten con ms detalle en
Debemos analizar constantemente el Capitulo 6.
nuestra red en bsqueda de prolocolos
ex/ranos o no permitidos. debido a que fabian@deblan:~$ telnet smtp.gmail.com 25
es posible conocer qu herramientaso Trying 74-125.159.109 ...
softwareestn utilizando tos servidores Connected to gmallsmtpmsa.l.google.com.
y estacionesde lrabajo si sabemos qu Escape character Is "J'.
tipo de datos.Son variasfas aplicaciones '220 mx.google.com ESMTP
malintencionadasque generanciertos HELOfablan
patronesde trficodetectables. !250 mx.google.com at your service
MAIL FROM: fablan@portantler.com
530 5.7.0 Must issue a STARTTLS command
las capturas de trco Actualmente. muchos de flrst.
los servicios ms populares de correo soportan el
uso de TLS para proteger a estos protocolos (que En el cdigo anterior. podemos ver cmo al
en su versin segura se llaman SMTPS. IMAPS y Intentar enviar un correo. los servidores de GMall
POP35). Es ampliamente recomendable emplear nos obligan a utilizar TLS para autenticarnos y
las versiones seguras de ellos. encrtptar las comunicaciones.
En el caso de SMTP. adems de la encrlptadn
de tranco, es Importante utilizar medidas de
seguridad para bloquear los intentos de enviar
HTIPY FTP
sparn a travs de nuestros servidores. Esto es Hyper Text TransferProtocol y File Transfer
particularmente importante porque podramos Pro toco!son los protocolos utilizados habitual
terminar en las listas negras y nuestros servido mente para transferir archivos y documentos
res serian bloqueados. lo que causarla la prdida a travs de las redes. El uso ms frecuente de
de varios correos. HTTP es servir las pginas de los sitios web.

~- ..... ao> ....il>""tltlo

__ . .,~ li"""''"'"'""'""~
+ ~<>'"""""''~ .
-
Figura23. Haklpedla

................................................ .,... ~..... ..........,.,.. .....,..,

(www.haklpedia.com) ARPPoisonin~

es un sitio web del tipo

wikl en el cual podemos
encontrar descripciones
de varias clases de
1~!1f .
ataque. Es un excelente
recurso de informacin

8 para mantenernos
-" ..~ - .. ,- .,- .,~..''-t""""I'"' ~ -.. ._ ~..--...,,,
..
,.- ..
~ actualizados. En la
.."'"'"'''""
,, _.
..,,._ _. ~~""''"'""'"''""' ""' ""'"""""""".; ,
"'"""''~'"'" _'"'"' ..p"
imagen podemos ver
~........ ~=~=:~~=";:~~=~:::::=~~==t:::.7~~:.~:::::.;;:;~===~
=>
~
D
w

41)
el articulo que describe
los ataques del tipo ARP
Poisoning.
~ ::=~~=.~~~='.~:.:_=-~-.~~=-~-~.:_: ~"~:.~~:__~1~~."':.:_-:~.:~.:~=~
""~ 8\1.IJ!OOMll"ro"'(ll'lllL.j.._... (;, ..... LLOJiU*l t:i!~~
 Figura24.En la imagen
~ '(ft .. ,,...,. --~ Li>' !:)I~
_; pte'm -. ,,, ~...-...,, ..,_ podemos ver los detalles
~ 1 ,,,. ,.. l+
del certificado TLS
que utiliza Google para
su servicio Google
Docs Algunos de los
datos interesantes
,.......,..... ''
Cl>nmool_..lOll
""""'""
""'"""'"'~
son los algoritmos de
.......... ~
........
,,_,,,..,,. ...
"'"""""""""~'
.... ,..,..,.. ..""'.'"'"'"'"'' ...
""'"'""""'""''"" encriptacin (RC4 128
''"'""'"""'IOll _ ........., ...""''
~~..._, ..,"''""''"'"'"
~=:.::.:::'.':.,,~
r~~ . .'"""'
~ "'""".'""'' bits) y la cantidad de
,. veces que se ha visitado
:::.~~'7"''''".....' .. "" fi

el sitio, que Indican que

'""''""'- ! .. ,,.-tltc41>0
co..,..lbotK"01"* .. U
.... ,...,,,,. ......,...,.,..,,...,..,.,_,..,,,".. .,.., .. _,
""'' r~.. ,... ~
Y.l'll~llt:'JOO(l"lO...,M
1"<>1 "2 >NOllg>.<l~l:>JO>JIOIQjl;OOlO
~J<:f~~lK no hubo modificaciones

tE:E~:;;;;t:E'E!E.5~ en el certificado TLS

desde la primera visita
que rea/Izamos.

Tanto HTTP corno FTP envan y reciben los datos protegiendo las credenciales enviadas. y no. los
en texto plano. lo que los hace rnuy inseguros si datos que pueden ser transferidos despus.
necesitamos transferir informacin confidencial o Evidentemenle. la seguridad de estos dos pro
credenciales de acceso. tocoos es muy pobre. y es por eso que se reco
En el caso de HTTP. existen dos formas para mienda utilizar TLS para agregar encrotacon y
solicitar credenciales de autenticacin: Basic y autenticacin del cliente. Las versiones de dichos
Digest. En la primera. el usuario y la cootrasena protocolos se conocen como HTTPS y FTPS. En
se enva directamente sin encrfptar. por lo que es el caso de FTP. podemos considerar la opcin
fcilmente capturable. Con respecto al mtodo de reemplazarlo por SFTP. que es un mtodo de
Digest. se utlllza encriptactn para transmitir transferencia de archivos que utiliza SSH para
las credenciales. Aun as podernos ser vctimas brindar seguridad en nuestros datos
de un ataque del Upo Men-tn-tne-mtoate (que
consiste en que un atacante se interponga entre
el cliente y el servidor. capturando y hasta modi
DHCP
ficando el trfico entre ambos). debido a que no Dynamic Host Configuration Protocol permite
se valida al cliente en si. Adems. solo se estn a los clientes de una red obtener sus parmetros

-~ ft ... ..., ---~ ..... "'

__, 1 ..... ,,_.~............ ... ......
~~~...!!1!9..L~'9!!"'4ndptsMj,'Jbi!!b.!h!!p ....l!!i!..l~) Figura25. La
(t~\
'!.!/"
Network Systems herramienta DHCP
Probe (www.net.
prlnceton.edu/software/
dhcp_probo
dhcp_probe) nos permite
.~:~,;,;,<:"~~=~~e:.~,:""'1'_....,._,,,.,,,<eUT~"""""'U''"t1.....,,,l<.A1"_!< ...>.itt...,..COr"'n<"oU>.s"'01<o detectar los servidores
6;"1.'!':'=""'"'""".... ,...,.,,,,.,...,,~'" !P-C"''"!I<' .., .... ,. .. "'"'~:.L._. ,,..,,_,..,r,_, '~"'K ~,.,,..u .. ~ DHCP que se encuentran
""""""'"""""~''.... "l'""'"'TLun<llu.o~~~rn"'no~on."""'"~'*"""'""''.,.,<Y'>~"""'' en una red local. Es de
'-'T'"'""
mucha utilidad para
U11wnloadlngthoS0Hw1110

...,,,,._ ..,...~~
..... :oo1Mn<l>olo'""l'"'"'w;t_,.""'ll"""'''''"M<"'h9N
detectar servidores que
,.,..,, no deberan estar ah/.
Figura 26. El Internet Q l1M1piwww1uo1g'
svstems Consortlum o SNO!jQ..A.. e li!!<p<H Hoi<ipoda
11
(www.lsc.org) desarrolla,
entre otros. el famoso
servidor de DNS de illJT.!il Internet Systems Consortium
cdigo abierto BIND.
Tambinmantiene
software de cliente y
::~.:::::::.~~::.:~:~:.::.::;~:::::.~=;
;;;~:::~
servidor DHCP. Es un
excelente sitio web en el
que buscar informacin '"'"""''"'"""''lij[j)(ii)Q
acerca de estos
protocolos. ~:.. :.~:::.: ::;-~.:;:::
de configuracin automticamente. Aunque
en general se utiliza solo para que los clientes
obtengan la informacin de direccin IP. puerta
de enlace y servidores ONS. el protocolo liene
muchas ms opciones y parmetros.
Como es un protocolo que fue desarrollado
para ser muy simple. tambin es muy inseguro.
Un atacante podra utilizar nuestros servidores
DHCP para obtener una direccin de red vlida
y consultar informacin de la red. Tambin es
sencillo crear un servidor DHCP para confundir a
los otros clientes de la red. o generar un peque
o programa que enve mltiples peticiones al
servidor. haciendo que las direcciones osponl
bles para asignar se agoten
Para evitar ataques. la mejor opcin es rnoni
torear los registros de sistema a fin de detectar
comportamientos extraos. Tambin debemos
estar alertas acerca de la cantidad de direccio
nes sin asignar de las que disponemos. Es una
excelente idea monitorear la red un busca de
servidores DHCP adicionales. Otra medida de
seguridad muy habitual es definir una lista de
direcciones MAC a las cuales responder nuestro
servidor DHCP. y hacer que se registren como
" 1.1apodl.o Hokloeda..........JBhtomo< S)"t<m1C..ma 1 +
'fi .fii\lHI
1
::.~ '; ~',';:';::;-;;:, :~~~ .... b ... '"
alertas las peticiones que vengan de direcciones
MAC que no estn en esa lista. Cabe destacar
que varios de estos problemas de seguridad son
solucionados con el uso de 1Pv6
DNS
Domaln NameSystem se utiliza. entre otras cosas.
para que las computadoras puedan resolver nom
bres de dominio a direcciones IP. Tambin es usado
para determinar cules son los servidores SMTP
que corresponden a un determinado dominio.
Los servidores DNS representan una pieza crtica
de la infraestructura de las redes e Internet. Si un
atacante consigue tomar el control de nuestros
servidores DNS. tiene la posibilidad de realizar
varios suoataques con grandes probabilidades
de xito. corno. por ejemplo. el phishing.
Particularmente. el diseo del protocolo DNS no
presenta mayores inconvenientes de seguridad.
pero debemos prestar especial atencin a este
tipo de servidores con respecto a una mala
configuracin. que podra exponer informacin
confidencial de nuestra organizacin y los domi
nios de los cuales somos responsables.
 Figura 27.Existen
varios sitios web
"lintoDNS ... que nos permiten
comprobar errores en
la configuracin de los
DNS de un dominio de
o ,.. ,_ ., . forma rpida y gratuita.
Algunos de ellos son:
www.lntodns.corn
www.dnscolos.com,
<)oNitU h8 , ..,, H'IU) , ..
..... ..,..,,..,.,.,,,...,,.,..,h',.~for""""'"""''" .."''''-"'"" www.dsnssy.com y
www.dnscog.com.

e ~'::.':"~ , _,,,, .., ,,. , ..

..., ..... ~ .... r.i1~>1.MIO'I IT'll.M .. 00]

:.::::~.:::::!!::~:::: ~:::::1
... 1.tm~'"" r:a1~1t111 (1"11.-l"l'lllJ

SNMP Creamos el usuario tablan. del grupo ReadOnly,

de SNMPvl. con la contrasea mlpassword.
SimpleNetwork ManagementProtocol se encnotada con MD5 y el trfico encriptado con
utiliza. habitualmente. para consultar o modificar DES56. utilizando la clave pfpfpf.
informacin en los dispositivos de teleccrnu
nlcadones. como routers. swltches y nrewaas. Para verificar nuestra configuracin. podemos
aunque tambin existen versiones disponibles utilizar los siqulentes comandos:
para UNIX y Windows.
Ofrece una manera fcil de acceder a la informa show snmp vlew
cin del equipo y a cada una de sus interfaces. show snmp group
La mayoria de las herramientas de monitoreo lo show snmp user
utilizan en mayor o menor medida

snrnpserver vlew ReadVlew system lncluded

snmpserver group ReadOnly v3 auth read
ReadVlew Cada uno de estos protocolos de red
snmpserver user tablan ReadOnly v3 auth cuenta con sus recomendacionesde
md5 mlpassword prlv des56 ptptpt seguridad correspondientes.que evitan
una gran cantidad de vulnerabilidades y
Con el comando de arriba "(para dispositivos posibles ataques. Es de vital importancia
CISCO)" hacemos lo siguiente que verifiquemos nuestras configuracio-
Creamos la vista ReadVlew. que solamente nes y busquemos alinearlas con las me-
puede leer los atributos dentro de system jores prcticas internacionales y las guas
Creamos el grupo ReadOnly, de SNMPv3. con del fabricante de nuestros productos
la vista ReadView
Como el requerimiento principal en su desarrollo
fue la simplicidad. con el correr de los aos fue
necesario hacer modificaciones que respondie
ran a los requisitos de seguridad actuales
Las versiones ms populares disponibles en varios
dispositivos y sistemas operativos son la l. 2c y 3.
Las versiones 1 y zc utilizan como nico mtodo
de seguridad el concepto de "comunidades'. que
son algo asr como contreseres.oue definen si
se tienen permisos de lectura o lectura/escritura.
Como el trfico viaja en texto plano a travs de la
red. existen grandes posibilidades de que nues
tras credenciales sean vistas por alguien que est
capturando paquetes en ella.
La versln3 del protocolo agrega varias capa
cidades de seguridad. entre ellas. encripter el
trfico. utilizar credenctales del Upo usuario/con
tresena y permitir la definicin de distintas vistas
por usuario
Es evidente que slo la versin 3 del protocolo
cumple solo con los requisitos de seguridad
actuales. As que debemos tener en cuenta esto
al seleccionar los equipos de telecomunicaciones
que vamos a adquirir.
DISEO DE REDES
SEGURAS
Con respecto a la seguridad de las redes. no todo
es gestin y configuracin. Tambin existe un
aspecto de suma importancia. que es el diseno.
Para cuestiones tanto de seguridad como
de rendimiento. el diseo. la seleccin de
equipamiento y la disposicin de los equipos,
determinarn las capacidades con las que
contar la red. Por eso es tan importante pres
tar atencin al diseo, sobre todo. si tenemos
Ms del 87% de las
empresas ha visto
una reduccin de los
incidentes de seguridad al
implementar separacin
de redes
(Fuente:SecurosisOataSecurilySurvey2010)

.,,, ... ,,, .. U<BSEC ..... .._.,., ... .,, ... ,

~"'~1)0FC.oil>l"''""'"";oo;
'""''"'""'"''"~'"''u"''"""'"'"'''""c
l~=iliiiimii;'",'!',.'':'"'~,'.:C'.~,"'.:..,;,.'".

::: ~ - ":."" :-::.;:.. ' ~;;'..7~\';~';;;,'"''" ...... ~ ~h'""'"~",... : :::: ::!:':::,.~~=~
;:;:~::'"'"'"'"""""''""'"'!
 Figura 29. Cisco Q
Systems ha creado
a:
varios niveles de
certificacin para ""'

!~~~~~~~
profesionales del
diseo de redes (CCDA.
CCDP, CCDEJ, lo cual
~
o
muestra la Importancia o
de este tipo de ~
conocimientos. z
g?.7.fef=..-=::::=t=~~,~:-7::"'..Z

la capacidad de construir la red desde cero y,
en caso de que estemos lrabajando con una
red ya construida. analizar cmo podemos
mejorarla constantemente
Llevando el ejemplo al extremo. la red mas
insegura es aquella que se denomina "plana. en
Es una exceterue Idea utilizar programas
como Oia (moslrado en la imagen) o
Microsofl Visio para disei'iar diagramas
que reflejen la topo/ogla de la red actual y
actualizarlos regularmente. Esto nos ser
de ayuda tanto para resolver problemas
rpidamente. como para evaluar cambios
y posibles mejoras en nuestra infraeslruc-
lura. Debemos completar estos dfagramas
con todos los datos que nos sean de
utilidad. como Upo de equipo, direccin
fabricante. etc.
!P.
la cual todos los equipos tienen conectividad
abierta entre unos y otros. sin ningn tipo de
filtrado. En este caso. la seguridad quedara
relegada nicamente a las estaciones de trabajo
y los servidores. que deberlan protegerse cada
uno por su cuenta. Como vimos anteriormente.
el concepto de "defensa en profundidad" nos
lleva a implementar varios controles en todos
los puntos que nos sea posible. As que debe
mos prestar mucha atencin a las opciones de
seguridad que ponen a nuestra disposicin los
dispositivos de telecomunicaciones
''Debemos
tener en cuenta
que una conexin
que no puede
realizarse no puede
ser utilizada para
atacar a un
sistema

Cisco SAFE (www.clsco.com/go/
designzone) ofrece guas y documentos
que dan varias recomendaciones para el
diseo de redes seguras. Si bien estn de
sarro/ladas sobre la base del equipamien-
to fabricado por Cisco Svztemz; forman
un excelente recurso para cualquier pro-
fesional que busque aprender cuesliones
de disenode redesseguras.
Entonces. es mucho ms sencillo filtrar
conexiones que intentar protegerlas con m
todos complejos
ZONAS DESMILITARIZADAS
Tambin conocidas como DMZ. sirven para
ubicar dispositivos que presten servicios pblicos
a travs de Internet. Estos servicios. por naturale
DMZ
Servidor
a a
Web
LAN
za. se encuentran mucho ms expuestos que los
utilizados solamente para propsitos internos.
En caso de que, por ejemplo. un atacante pueda
tomar el control de nuestro servidor web. esta
separacin complicara el acceso desde all hacia
la red local CLAN} Por lo tanto, es necesario
implementar este tipo de separaciones siempre
que contemos con servidores expuestos a redes
pblicas. como Internet Tambin es recomenda
ble utilizarlas para colocar los equipos destinados
a conexiones con organizaciones asociadas.
clientes o proveedores.
Estas separaciones pueden crearse utilizando
firewalls. routers o un servidor dedicado a esta
tarea. Entre todas estas opciones. cada una tiene
sus ventajas y desventajas, de las cuales meneo
namos algunas en el siguiente apartado.
FIREWALL
Es la opcin ms recomendable en todos los
casos. sobre todo, porque se trata de equipos
ya preparados para esta tarea y suelen contar
Servidor
de correo
Figura 30. El diagrama muestra un diseo
tipico de la separacin a travs de un firewall
de la red local, la DMZ e Internet.
 ..
oeate sew ..1
VSM!Us VID 'VSource
intermI :> w11nl (2-)~-
0 2 Q .illl
~
wiml >
s .1..!l..0.1.l..
inl~rnal(2) """"""'
..
3 Al!
'''l!ChnopnDggycrv
Figura~. En la imagen podemos ver una captura de pantalla de la Interfaz de configuracin web de un equipo
Fortlgate, de Ja empresa Fortlnet Como podemos observar. presenta una interfaz sencilla, pero al editar cada
una de las polftlcas, podemos configurar opciones avanzadas, como deteccin de Malware
con opciones que nos sern de mucha utilidad.
Algunos nos permitirn implementar controles
antivirus y capacidades de NIDS. que van a
reforzar mucho la seguridad entre la LAN y la
DMZ. Adems. suele ser la opcin ms sencilla
de administrar. mantener y monitorear.
ROUTER
En caso de que no contemos con un Ilrewa.
podemos optar por utilizar un router y configurar
una buena cantidad de listas de control de acceso.
para tener bien limitado el lipa de conexiones
que pueden realizarse de un lugar a otro. Con
estos filtros bien configurados. podemos tener un
buen nivel de seguridad. sin entrar en los costos
que puede representar un firewall. A continuacin
Debemos prestar atencin a las separa
ciones de red tanto ffsicas como fgicas.
manteniendo dos diagramas de topologa
distintos. Debido a que cada una de ellas
representa diferentes medidas de seguridad.
siempre hay que tener en cuenta que una
separacin lgica puede faffar por cuestio-
nes de configuracin. pero una fsica no.
[~]
Voest1n111ion VSdl<!dule VSeN1ce VProl" VActio_~_
0HTTP
llHTTPS
ll!MAP
llSJ-ITP
11 PDP3
Oil JCMP_ANY
e IDS.
podemos ver un ejemplo de listas de control de
acceso (ACU en un router Cisco. que solamente
permite trfico DNS. HTTP. SMTP y POP3.
access-st 102 permittcpany any eq www
accessHst 102 permlt tcpany anyeq smtp
accessllst 102 permlt tcpany anyeq pop3
accessHst 102 permitudp any anyeq domain
accessllst102 permltudp anyeq domalnany
accessHst 102 permlttcpany anyeq domatn
accessllst102 permittcpany eq domain any
SERVIDOR
Esta es una opcin que puede resultar lntere
sante. sobre todo. para los profesionales que
cuenten con experiencia en sistemas operati
vos de cdigo abierto. como GNU/Linux y BSD.
Podemos instalar alguna de las distribuciones
que estn desarrolladas especficamente para
ser utilizadas como firewalls. Puede ser la
opcin ms econmica. pero debemos tener
en cuenta los problemas de disponibilidad que
podemos llegar a tener en caso de que el servi
dor presente una falla de hardware
Al seleccionar la opcin que vamos a utilizar. es
preciso tener en cuenta tanto nuestras capaci
dades econmicas. como nuestras necesidades
y conocimientos tcnicos para llevar adelante la
solucin. Debemos considerar que. como la rna e
 4 Bytes
Destination Source 802.lQ
Addres Addres VIJ\NTag
2 Bytes 2 Bytes (Tag Control lnformation)
Tag U ser
Protocol Priority
ID (3 Bits)
Ox8100
Figura 32. El diagrama nos muestra la manera en
que se agregan 4 bytes a la trama Ethernet para los
campos del protocolo 802.10,
yorfa de las conexiones permitidas sern desde
la LAN hacia la DMZ por propsitos de gestin
de los equipos. no es estrtctameote necesario
contar con capacidades avanzadas de filtrado
SEPARACIN DE VLANS
Virtual Local Area Network es un mtodo para
crear redes lgicamenle independientes dentro
de una misma red fsica. Para realizar esto. los
paquetes son marcados con un campo especial.
denominado etiqueta o tac que identifica a las
distintas VLANs. Dicho lag se ubica como un
campo adicional en la estructura de datos de
cada paquete transmitido
Esto nos permite tener el trfico separado por
medio de los switches y filtrar la conectividad en
tre los dispositivos. aunque se encuentren com
partiendo un mismo medio fsico. El estndar
que actualmente se utiliza en la mayora de las
implementaciones de VLANs es el IEEE 802.lQ
Entre algunas de las ventajas que nos brinda
tener nuestro trfico separado por VLANs. pode
Type/len Data
Frame
Check
Canonical VIJ\N ID
Formal (12 Bits)
indicator
(1 Bit)
mas enumerar los siguientes:
Delimitar los dominios de broadcast. para mejo
rar el rendimiento.
Organizar mejor la red y los dlsposivos que
estn conectados a ella.
Disminuir la posibilidad de accesos no autoriza
dos y escuchas de trfico.
Como podemos notar. es de utilidad implemen
tar separacin de VLANs no solamente para
propsitos de seguridad, sino tambin para me
jorar el rendimiento de nuestra red. Esta es una
capacidad con la que cuentan todos los swltches
actuales. tanto de fabricantes reconocidos. como
de segundas marcas. Es ampliamente recomen
dable clasificar los tipos de trfico que tendremos
en nuestra red y, sobre esa base. definir distintas
VLANs. En general. la clasificacin adecuada
ester basada en sectores de la organizacin,
y podr ser. por ejemplo: Finanzas. Marketing.
Atencin al cliente. Servidores. etc
Tambin debemos tener en cuenta que ciertas
tecnologas tienen requerimientos especficos en
cuanto al rendimiento de la red; sobre todo. las
tecnologas para transmisin de audio y video
Es por esto que se recomienda utilizar una VLAN
dedicada para este tipo de trfico.
 motamente los dispositivos de red. En el siguiente
ejemplo. veremos una configuracin de VLANs z
de un equipo Cisco Catalyst 2924 XL en la que :J
''Es de suma
>
separamos el trfico de voz sobre IP (Vo!P) de los o
trficos de estaciones de trabajo y servidores.
z
o
importancia ~
vlan database
reservar una (vlan)#vtp transparent ~
Settlng device to VTP TRANSPARENTmode.
VLAN para la (vlan)#vlan 10 name Workstatlons
VLAN 10 added:
administracin de Name: Workstatlons
(vlan)#vlan 20 name Servers
dispositivos, VLAN 20 added:
Name: Servers
es decir. protocolos SNMP. SSH. ele. Esto nos (vlan)#vlan 30 name VolP
permitir conservar la geslln de los equipos. aun VLAN 30 added:
cuando la red est saturada. Manlener este tipo Name:VolP
de trco dividido del resto tambin nos servir (vlan)#exlt
para implementar filtros ms granulares acerca de APPLYcompleted.
qu estaciones de trabajo pueden administrar re Exltlng...

DDDDD
la
Concentrador
DDDDD VPN Servidor
DDDDD --------------------- i------------lT'-r'-ri-m
DDDDD
DDDDD Datos ! Datos Datos no

P-9 ! cifrados

(:)
cifrados 1 cifrados

Sucursal

Figura33.El diagrama muestra

~ Datos i cmo es posible utilizar una

VPN para proteger el trfico

&~-----------~~'.~-~~-~-j tanto de conexiones de usuarios

remotos, como de sucursales en
una casa central, a travs de un
concentrador de conexiones VPN.

Trabajador remoto
 PARA PONER A PRUEBA
Algunas de las herramientas de VPN de 1. zsor qu debemos prestar atencin a la seguri
cdigo abier/o ms populares. que pue- dad de routers y switches?
den ser instaladas en Jos sistemas opera- 2. Qu diferencia podemos encontrar entre los
tivos UNIX para funcionar como concen- sistemas DS e IPS?
1

trador son: OpenSSH (www.openssh . 3. zcara qu sirve la tecnologla Port Security?

com!. OpenVPN (http://openvpn.net! 4. zccrno podemos proteger el trfico de los
y FreeS/Wan (www.freeswan.org). protocolos que envan los datos en texto plano?
s. Qu dispositivos nos permiten dividir la red
tipo LAN de la DMZ?

REDES PRIVADAS
VIRTUALES
Las conexiones VPN (Virtual Priva te Networks)
deben ser utilizadas siempre que necesitemos
realizar conexiones seguras sobre medios no
seguros nternet). Este tipo de herramienta es
de suma utilidad para habilitar el trabajo remoto
y permltlr que los empleados de la organizacin
se conecten a nuestra red desde sus hogares u
otros satos, Tambin es t para conectar varias
sucursales a una casa central.
Muchos de los dispositivos UTM pueden
funcionar como concentradores de VPN. y los
sistemas operativos UNIX cuentan con herra
mientas para el mismo propsito. generalmente.
utilizando protocolos como IPSec y SSL/TLS. con
algoritmos de encriptacin como AES y 3DES y
funciones de hash como MDS y SHA. Cualquiera
sea ta combinacin de estas herramientas. nues
tras conexiones permanecern relativamente
seguras. con la nica vulnerabilidad de que las
credenciales de acceso puedan ser adivinadas o
conseguidas por medios que no tengan que ver
con la conexin VPN en sr.
PARA APROVECHAR ESTE CAPITULO

INVESTIGAR MAS A FONDO CADA UNA DE LAS TECNOLOGIAS EXPUESTAS.

DESCARGARY PROBAR EL SOFTWARE MENCIONADO.

ACCEDER A LAS GUIAS DE SEGURIDAD PROVISTAS POR EL FABRICANTE DE NUESTROS

SISTEMAS OPERATIVOS
 SISTEMAS
OPERATIVOS
En este capitulo aprenderemos a : Los sistemas operativos representan un alto
valor. tanto para tas organizaciones corno para
v
ObJetlvo1 Seleccionar asegurar sistemas sus posibles atacantes. Esto se debe. principal
operativos. mente.a que son los encargadosde almacenar
y procesar la informacin. lo que hace que una
ObjetlvoZ Utilizar los protocolos de gestin falla en ellos puede ser causa de prdida de
adecuados. datos.robo de datos y otros problemas serios.
Como todas las tecnologas.estos sistemas
ObJetlvo3Entender los distintos tipos de han evolucionado constantemente. y se
autenticacin. volvieron ms seguros con el correr de los

l. ~~:;?,;,~:~:; ;,~::.::~'"' dcl <>!do O~,...,,.. ,,"''"""" P""''P'k' ,1, .,,.,,,.,,,d6) 'l"!I"' oq<M< ''"''""''Y

~~"''""""'"""'''''""'"'"",'
fltiirtwldWi<ldow>
O c..,1;~""'"'"''~"1""
..,l),,"'"""""''fu"'"""
{iiEJ"""'"'"'""'P'"
Ullm.uoctuI"""" '"'!l""'"" .... \IU.....
l'.ilConloumE:K:ddntm><t ~
bu"'" t.p..... ,

~':;:';;.:.",''"'''"''""''

.
<;oM""'"d' :09uOo" A<t~"'P'"""'loi~dm>
m<OO
... o(l:\l:)dcW"ncl A(\i,Il"'>UOUI~'
bplo""

"'"""'""'""""'"'
i)1.,fu0<loou

t ~~;::;~::~ 1

8 Figura1. Wlndows
muestra
~
Ser ver 2008
grandes mejoras de m~'9"""'"'''""'
ti.Ouitotwocttn""
=> seguridad con respecto
~
D
w
a sus versiones
!@ anteriores.
anos. Pero tambin
las nuevas necesidades
tuvieron que adaptarse
del mercado. aumen
a
WINDOWS VS. UNIX
tando las capacidades de conectividad y la En este pequeo apartado intentaremos definir
diversidad de las funcionalidades prestadas un tema que se viene discutiendo haceaos. y

'"::-~~~"~
lo cual abre las puertas a nuevos tipos de hasta lleg a conocerse como la "quera santa del
ataques y vulnerabilidades. Es por eso que mundo informtico. Nos referimos a la rivalidad
podemos afirmar que. si bien los sistemas entre los sistemasoperativos de Microsoft.que
operativos son cada vez ms seguros en su son ampliamente los ms utilizadosdel mundo. y
diseo. presentan cada vez mayores vectores
de ataque. por estar obligados a ofrecer cada
vez ms funcionalidades.
Recordemos que. a mayor funcionalidad de
un sistema. mayores son sus posibilidades de

profesionales,
falla. Por otra parte. podemos observar que el
mercado se vuelve ms exigente en cuanto

debemosdejar
a los niveles de seguridad esperados. por lo
que vemos que se Implementan varias tec

de lado cualquier
nologas desarrolladas exclusivamente para
proteger los sistemas

preferenciaque
Este tipo de enfoque nos permite tener un
mayor control de la seguridad. pero tambin
nos obliga
dades
a estar al tente
con las que cuentan
de todas
nuestros
las caoac
sistemas, tengamosy ser
objetivosa la hora
para poder implementarlas correctamente.
En la actualidad. existen varios tipos desiste

de seleccionar
mas operativos. para diferentes propsitos.
aunque podemos afirmar que la mayora de

el mejor sistema
las instalaciones en empresas pertenecen a
dos grupos:Wlndows y UNIX. En el primer

caso. podemos encontrar sistemas tanto para
escritorio (Windows XP. Windows 7) como
para servidor (Wlndows Server 2003. Wln
dowsServer 2008).
En el segundo grupo. hay una infinidad de va
riantes como GNU/Linux. BSD. HPUX. IBM
AIX. Solaris. etctera. que suelen utilizarse.
principalmente. para servidores.
Si bien cada sistema operativo tiene sus partl
cularidades que to vuelven nico. los integran
tes de cada uno de estos grupos mantienen
grandes similitudes. por lo que hablaremos de
sistemas Windows y sistemas UNIX. sin entrar
en detalles minuciosos.
operativopara
nuestrosequipos
Las falencias de los sistemasWindows han sido
muchas y muy graves. aunque. principalmente.
esto estaba relacionado con el escaso inters de
Microsoft por el tema seguridad. Actualmente.
esta postura ha cambiado. y podemos observar
que las nuevas versiones de Windows hacen
mucho ms hincapi en este aspecto
Muchos apoyan el diseo de los sistemas
operativos UNIX. porque sostienen que estn
 desarrollados desde un punto de vista ms
organizado y simplista. Pero. como va meneo
namos. esta es una cuestin personal v. sobre
todo, depende de las necesidades del mo
mento. Objetivamente. cada tipo de sistema
Tanto los sistemas operativos Windows
como los UNIX cuentan con una gran cuo-
ta de mercado y son respetables. por tener
varios aos de desarrollo y una gran can-
tidad de software disponible.Es por eso
que es habiWal el necno de encontrar una
mezcla de ambos en todas las infraestruc-
turas tecnolgicas actuales. Como buenos
profesionales. debemos tener un amplio
conocimiento de ambos sistemas. Aunque
no es necesario que seamos expertos en
Jos dos (tarea que resunerte muy diflciO.
debemos tener la capacidad. por to menos,
de instalarlos. ecmttstrertos y configurar
Jos correctamente. conociendo las ventajas
y desventajas de cada uno. as como
tambin las herramientas que podemos
utilizar en cada sistema para aumentar
su seguridad. Esto es algo
va a distinguirnos en
el mercado laboral. no
solo porque tendre-
mos la capacidad de
8 amplia
~ de los
=> sistemas
~
D
w
opera ti-
41) vos en s.
operativo tiene sus ventajas y desventajas.
con lo cual la eleccin de uno u otro estar
estrictamente relacionada con el propsito del
sistema. Existe una infinidad de comparativas
entre estos dos tipos de sistemas. as que no
vamos a reinventar la rueda en este libro
CONSEJOS PARA
SISTEMAS WINDOWS
Este tipo de sistemas suele ser fcil de utilizar. pero
no debemos dejar que esto nos lleve a subestimar
los. En sus ltimas versiones. podemos apreciar que
existe una gran cantidad de herramientas desti
nadas a aumentar la seguridad. muchas incluidas
en la instalacin por defecto y otras que pueden
descargarse desde el sitio web del fabricante
Hasta el da 11 de mayo
de 2011, Microsoft
Windows Server 2008
llevaba reportadas320
vulnerabilidades
(Fuente: NIST Na1ional Vulnerabilityatebase.
http://web.nvd.nist.gov)
Siempre debemos prestar mucha atencin a las
nuevas notificaciones de seguridad y a los par
ches disponibles. Microsoft manliene varios cana
les de comunicacin para notificar a los usuarios
y administradores acerca de las novedades en
seguridad: desde la jntorrnaon basca para estar
al tanto de las cosas. hasta temas ms avanzados.
dirigidos a administradores y pensados para dar
nos tiempo a preparar las acciones de aplicacin
de parches. Tambin podemos encontrar un blog
oficial. en el que se ofrecen contenidos referidos a
varios tpicos de seguridad. Todos estos recursos
pueden encontrarse en: http:technet.microsoft.
com/esar/security/dd252948
 Figuraz. En http://
technet.mfcrosott.com
podemos encontrar
TechCenter de segurldnd itl@i innumerables recursos

e :::::.r;'""''"'''F"''oo
,.,..
lnfomw:llln mM rfldM!e d!!I balelln ~ "5eSD'Nnlftnlo dft ""l)LO"i!hd EJ para aumentar la
.(, ... ..,. .. 1.,_,_
..
... ,,.,,..i..:1 .. .1<AoeoM11'""""'"'"'n o::.::~- ...... ~.. ,, seguridad de sistemas

to.. 1><'6nlallff1.ont..,.:.n.. 1o1..,.o"\'"do1'91f\d"'.. Moo.. 201! o:::.c:..:~"""""lo .. Microsoft.

.1n ...... a..1 ........ ,"'"'"""~""''""'"'''9'""""" ... 2011 t:i~.=: ..b<"'".. '""'""'"'
1'11 ,.,,. ... ,.~
M .. in1-.6~.t0 ... 1,,Y'"'-n1oM-O>

,.,..,...=,M--.,-~.,--"=,.,--..,,,@
f4''""'""""""<lo..(1<114 m iili@i!ijii

-
.f~.too'"'''"('"'"'' ...
1;1..oo.,
..........., "''- ... ~011
........
... :~:: ......~ .....'''""'''''
Wot-- ... <fKh~ ..
....... ,, ... ~,
''"'""'''"~"'"
"'""""'''"~"'"~

CONSEJOS PARA del proyecto. el soporte del fabricante. la compa

tibilidad de hardware, el software disponible. etc.
SISTEMAS UNIX Entre las versiones libres. podemos distinguir la
seguridad de los sistemas BSD CFreeBSD. NetBSD
Estos sistemas cuentan con una gran reputacin y OpenBSD), as! como tambin de las dltrbuclo
en ro que a seguridad se refiere. Pero debemos nes GNU/Linux Deban y RedHat.
tener en cuenta que la gran cantidad de distribu El siguiente enlace contiene una excelente
ciones UNIX que existen hace QL1e cada una se cornparaliva entre los sistemas operativos libres
enfoque en orsuntos objetivos. por lo que no to (excluye las versiones de UNIX propietarias,
das pueden poner tanto nfasis en la seguridad. como HPUX e IBM AIX):
Es por eso que. al seleccionar el sistema UNIX http://es.wiklpedia.org/wikl/
que vamos a utilizar. debemos tener muchas Anexo:Comparacin_de_los_sistemas_ope
consideraciones en mente. como las prioridades ratlvos_llbres_y_de_cdlgo_ablerto.

Figura3. En www.

==-=:=-: .-:.==-======-"'-"':=:-..::::::::. :;::_

__ ;:;; - linuxsecurity.com
podemos encontrar

.,,,,,, :: . : , ;: . : .=,,...:.:-=-------------- - :- - varios recursos acerca

:=.~ n:;m ...

de la seguridad en
sistemas operativos
Jl~);;IG)> ..... 11'1-.. "'--- J>o l_flllo ]!<"!ti" "" f+k fl"" i.....,J i!.!llQ<tll(t,Ol10~ GNU/Linux.
Ya que estos sistemas nos permiten (y nos
llevan a) ser minimalistas e instalar solo lo
necesario para que cumplan sus funciones. En el caso de los sistemas UNIX. podemos
debemos planear adecuadamente qu com basar nuestro proceso de hardening en
ponentes instalar y cmo configurarlos. Ade la lista de recomendaciones publicada
ms. todas las versiones serias cuentan con por el AusCERT.que puede consultarse
una gura de seguridad donde se recomienda en www.auscert.org.au/5816. Ali! se
cmo realizar la configuracin consideran varios aspectos. tanto de los
sistemas operativos UNIX en general.

HARDENING como de mtodos para implementar las

El proceso conocido como hardening invo
lucra varias tareas que buscan aumentar la
seguridad de un sistema. Siempre debemos
realizar dicho proceso al instalar un nuevo
sistema o dispositivo. Cada sistema cuenta
con sus mejores prcticas y gufas que detallan
cmo realizarlo adecuadamente y aprove
chando ladas las caractertsucas de seguridad
Figura 4. En la consolade administracinde
serviciosde Wlndows.podemosconfigurarvarios
parmetrosparacadauno de tos servicios
medidas en sistemas espeacos
disponibles. Sin entrar en detalles acerca de
cada uno. podemos decir que el hardening se
basa en las siguientes tareas:
Minimizar la cantidad de servicios utilizados:
la mayora de los sistemas operativos se instalan
por defecto con una cantidad de servicios
habilitados que no siempre vamos a necesitar.
Por ejemplo. el enrutarrueoto de paquetes.las
conexiones inalmbricas (incluyendo infrarrojos

-
.....,,, 1o1.....1 so1oo,..!4I

=
, ........ roe.i
-'"'""llop..incloll!od
,....,..ardo."''8Mrdo4'DOl'O!lll'
,.,...,,1
~"1<mll\xl , ..... ,,,roe,.

""""
, ... .,. .. 1oc.,i

__ ,
~ul(mll\xl
....,.

flob; i. ... """"' ~"..,,,,,...,

o.~-O<lo
.... 000000
tocill

FIOO"M!y...
iiot>lot.. .
CotQO"dJ .. ~utornillco 5i>ttt1nlo:ol
Pr"""Oon ... .,,.,., 5.t<o .. tocill

1-l:r-..>I
O.>hab~odo
Prooordoo. u:.,.,...;t~o
A<lnristroL. Oe"'1b~odo
y Bluetooth). los puertos USB. y cualquier otro
servicio que no vayamos a usar.
Obviamente. dependiendo de las funciones que
va a cumplir cada sistema. tendremos que selec
cionar qu servicios habilitar y cules no. Pero
debemos habilitar siempre lo mnimo necesario.
Utilizar Interfacesde gestin seguras: si va
mos a habilitar las interfaces de gestin remota,
solamente debemos utilizar las que funcionen de
forma segura. encriptando el trfico v utilizando
una buena pojtca de accesos. De ser posible.
es recomendable filtrar qu dispositivos pueden
utilizarse para administrar los sistemas en forma
remota. Analizaremos ms sobre este tema en el
apartado Administracin remota.
Mantener el sistema actualizado: todos los sis
temas tienen errores. que suelen ser corregidos
con el lanzamiento de parches y actualizaciones
Debemos implementarlos siempre que sea po
sible. no solo para solucionar fallas. sino tambin
para aprovechar funcionalidades de seguridad
que pueden habilitarse con las nuevas versiones
de los sistemas. Analizaremos ms acerca de
este aspecto en el apartado Gestin de parches
Utilizar una buena polftica de contraseas
es de suma Importancia que las contraseas de
acceso (tanto de usuarios como de administra
dores) estn obligadas a cumplir con una oonca
que garantice la dificultad de realizar ataques de
cracking sobre ellas

Jl.n:hrvo Accin Ver ~d

o+I ~Cii), XJ[JI Hll!lll
~ 011ect1v0Equi11olocal ConfigurJc16n de ..
.:i Configu111cindel equipo ll<)Alm~cen~rcontrait~i concifrado reveulbte DeshJbilitJd~
~ !U Configur~cinde ioft..y;irc t.')E>1:rgi1 hiito~oldceon1menu Ocontr~iei'IMteco...
" Ll Configur~dn de WindoW! C:JLo contraieil~debe i:umplu lo req\l111to1 de compltjd~d Oe1h~b11it~d~
~ Scri11u~nicioo1p19a~ol
l\)Lo1191t"d1r1l111rn~ do 11 cor.\1u1la
.o&Confi9uraci11d1s.9u1id1d
"[lOi1.cl1vudetut1(1
e Directi.,.decontr~ieilos
&lvigoneioF========~===...~
6')Viginci Propied&dei de V19enco~ mh1m de I contr~itil& m~
~ ; Oirectiv;:ide bloqueo de cuenta Cotiogu1ecii:ln<Jo.1egurid.ldloea ~~~p'Coo="~----~
~ e Oircctiv~i lcnles i!I \fty~nci-trn.~>Fl!l<.lo;l,contrbslltt.
~ (;:;foewalldtW1ndow5conie9uridadavan
r.:I Oitoctivud0Adminis\1ad~rdo li1t~1dt' !lV
~ l:J Oi1.divudo<lav1pblica
~ ~Oi1tctt'l.. dtre>tricci6ndtofb..,.1t
~ ',! Oi1ectivsde "9u1id&dri> en tquipo loc1 Laconua1e&nunceexpira16
e iJJJJ Qo::.bai~d~ en direcciv~ ~dlb$
~ rLl Pl~ntill~i 3dministr~tiv3s
'f&Confi9u111dndeurnano
~ ~ Configut~cindosofb.Yr<
~ :j CcnfiguracindoWmdoW!
~ ['.j i>lonl1lladnlln11trotrva

Figura 5. Desde la versin XP, los

sistemas Wlndows cuentan con
varias opciones de configuracin
para polticas de contraseas.
Figura6. El firewall de
Windows 7 muestra que
ha Ido evolucionando
con respecto a las
versiones presentes en
los sistemas anteriores.

Se recomienda. por lo menos. tener en cuenta
los siguientes puntos:
Jener una longitud mnima (al menos 8 caracteres).
Reazar el cambio regular obligatorio (por
ejemplo. cada 30 dfas).
No repetir claves (por ejemplo. ninguna de las
ltimas12)
No utilizar palabras del diccionario.
Ernplear maysculas. minsculas y nmeros
Utilizar filtrado de conexiones Cfirewalll: es
recomendable implementar este tipo de filtros.
por lo menos. en los servidores. Esto nos ayuda
rd a limitar desde dnde y hacia dnde pueden
establecerse las conexiones. lo cual nos permitir
mantener a raya varios tipos de ataque. Tratare
mos ms este lema en la seccin Flrewalls
Separar las particiones de disco: cuando insta
lames un servidor. debemos definir un esquema
de pertlclonamiento acorde a sus tareas espec
neas, Por lo menos. tenemos que establecer una
particin para el sistema operativo y otra para
los datos que se van a almacenar en l. Esto nos
permitir reinstalar el sistema rpidamente. sin
perder la informacin de nuestra organizacin.
Utilizar autenticacin central Izada: los ser vi
dores de autenticacin centralizada (como Actl
veDirectory. OpenLDAP. y otros) nos permilirn

The Unix securityaudit and intrusion detuctton tool

Figura 7.Tiger es un
To ... .-;o"""'1ttO>o:i...'"""""'l>O<O;"""'<-<r""~~"'''""d'*"""""' ..... ltoPl>O<"''"~OlpoUNIXl"l!=.o.r;Jltw"'*
software para realizar '""''"""'lor(lPl,Joou,i.-.-rto~~T1<"-""''IPOSl~- .. dlo...n-fltlr>irlr1h~l~oil'"'"

varias comprobaciones
de seguridad en /os
sistemas UNIX (www.
nongnu.org/tiger).

RcportOcblilfor
111EH*
(2009=0..::(:::::,._,
__ tol-.)
--__ __
.. _... _,,..,,,,,,,..
'""'"
centralizar nuestra base de datos de usuarios e
implementar polticas de contraseasde una forma
sencilla. Hablaremos sobre este tema con mas deta
lle en la seccin Servidoresde autenticacin
Almacenarlosregistrosde formasegura:los
logs o registrosde nuestros sistemas deben
ser almacenados de forma segura y en un ser
vidor remoto. De esta forma. podremos realizar
varios anlisis para determinar el estado de
nuestra infraestructura y los sucesos relaco
nadas con ella. Evaluaremos este aspecto en la
seccin Anensrs de reas.
Crearcopiasde respaldoregularmente:como
todo dato puede sufrir daos totales o parciales.
es necesario implementar una poltica de copias
de seguridad. y las herramientas adecuadas para
llevarla a cabo. Profundizaremos en este tema en
la seccin Backups.
La nueva medida de
seguridad que ms se
busca implementar en las
infraestructuras es el control
de dispositivos USB
(Fuente:SecurosisDataSecuritySurvey2010)
Figura 8. MBSA es
una herramienta
que nos permite
anal/zar rpidamente
la seguridad de los
productos Microsoft.
La podemos encontrar
en la direccin www.
microsoft.com/mbsa.
En las organizaciones. el proceso de nente-
ning debe estar perfectamente documen-
tado y estandarizado para que a cada asco-
sitivo se le apliquen las mismas medidas de
seguridad. Esto es importante porque cada
medida de seguridacl que Implementemos
ooarte no solo tener resultados positivos.
sino tambin producir un mal funciona-
miento en los sistemas y las aplicaciones
relacionadas. Adems. es preciso tener
mucho cuidado al modificar las polticas de
hardening que Implementamos. verificando
que cada cambio funcione de la forma en
la que esperamos. Si es posible. tenemos
que uli11'zar equipos de prueba. Por ltimo.
es importante prestar atencin a tas fuentes
de documentacin en las que nos basamos
para realizar cambios. Es muy habitual
encontrar "trucos ocultos en algunos sitios
web. que no hacen ms que provocar
un comportamiento extrao en
nuestros sistemas o. lo que es
peor. comportamientos que
podran parecer correctos. pero
que no funcionan de manera
adecuada. Este tipo de cambios
deben ser probados antes de
ponerfos en produccin.

ld..,tltI. DBmiptlon
JIOOQOS Ols!bl~NATingllo.nml111dAPll Y
1100009
Figura9. Packettence es un software de cdigo
abierto que nos permite Implementar NAC en nuestra
red (www.packetfence.orgJ.
As/ como en el caso de la tecnologla NIDS.
la implementacin de un sistema NAC es
un proceso complejo. pero que puede
ayudamos a aumentar en gran medida la
seguridad de nuestra infraestructura. Pero. a
diferencia de los sistemas N/05. la tecnoto-
gfa NAC est formada por varios campo
nentes distintos. y debemos tener ciertas
consideracionescon este tipo de proyectos
Cafda1cle1ervlcl0:Estos ststeme:po-
drfan denegar el acceso a la red a dlspositi
vos que deberan acceder normalmente.
Cambios necasarloe:Es muy habilLJal que
sea necesario realizar modificaciones
la infraestructura para implementar estas
tecnologlas. Debemos analizar cuidadosa-
mente el costo que oodrten llegar a tener
estos cambios_
Allneamlento a futuro: Es preciso con si
derar que estas tecnologfas nos permitirn
evolucionar nuestra infraestructura. pero
tambin. restringirn el modo en que esta
puede hacerlo. Debemos considerar si el
sistema NAC seleccionado nos permitir
crecer de acuerdo con nuestros planes.
Packetm ......
Q I
/C1Jntllfl!J1nd .... phpitomPl;oto;ifoilld_lcon
9'11111,il)O,!"'l'l /C1Jnt!tlt/H>d8>'.php-,emplate=baMec!_os
9'11111,ll)O,ti.p] 12<1 /Cllnlml/lnd.,.,phpi'-llll!!znat
cmtll,k19 J 12G /t;0ntcnt/1ndeo:.pllp~l-d_..,,l't
wn.11,lo\l ] /C1JntontJlnd10r.phpit..,..1;oto;iIOOiuedOq1
NETWORK ACCESS
CONTROL
NACes una tecnologfarelativamente nueva.
que pretende unificar tecnologfascomo anti
maware.prevencinde intrusos y anlisis de
vulnerabilidades. Esto nos permite implementar
varios controles sobre los dispositivos que estn
conectados a la red. tanto de preadmisincomo
de postaorrusori para decidir qu dispositivos
puedenconectarse y a qu recursos de red
puedenacceder.
El 34% de las empresas
utiliza alguna solucin de
Network Access Control
(Fuente: CSI Comouter Crlme ano Security Survey)
en TECNOLOGIA NAC
Esta tecnologa se encuentra en constanteevo
lucin. y es implementada de diversas formas
por varios fabricantes. que agregan diferentes
funcionalidadesa cada uno de sus productos
En los sistemas Microsoft Windows. encontra
mos una implementacin llamada Network
Access Protectlon (NAP). que apareci en los
sistemasWindows Server 2008. Por su parte.
Cisco Systems desarroll una denominada
Network Admission Control
En la mayora de los casos. el funcionamiento
de esta tecnologa se logra a travs de un
 C::I sopros nac n..o "~
~~ ~~~--
1 .. ,.,~, ~ 1 .. 1. 1

t!:il.:l!:l~l~l~l~I

4!31!~M!ii11

~,,.,~! R"~1.!! !~~:~

p.,u.1~eo."11an1
i!i!'
lllo,,..Compli.ont
- Pt<lllycon.,i ...nt
t.lon-~

Figura 10. En la Imagen podemos ver la solucin de NAC ofrecida por el fabricante Sophos (www.sophos.com).

trabajo conjunto entre los servicios DHCP.
DNSy los dispositivos de telecomunicaciones.
Esto permite ubicar los dispositivos que no
cumplen con la poltica de seguridad en una
red de cuarentena. y remediar su situacin
instalandoel software anttrnalware necesario
e implementando las configuracionesrequerl
das por el administrador de la red.
Con la nueva tendenciade los dispositivos
mviles. como telfonos inteligentes y computa
doras porttiles. es muy comn que los equipos
que se conectan a nuestra infraestructura
vengan de haberse conectado a varias redes.
que pueden haberlos infectado
Por otra parte. este tipo de equipos requiere
ms control por parte de los usuarios. por lo
que se les permite mocncar cierto tipo de
configuraciones. que podran llegar a repre
sentar riesgos para la seguridad
Es por eso que estas tecnologias son la nueva
tendencia en cuanto a seguridad corporativa.
porque nos permiten minimizar los peligros a
los cuales nos exponen las modernas formas
de trabajo. Pero recordemos que son solamen
te un componentede lo que debe ser nuestra
estrategia de defensa en capas
MALWARE
El malware es todoaquel sortwaredesarrdlado
con el objetivode produciralgn mal en el sistema
Sin el consentimientode su propietario.Esta es una
descripcinmuy general. que englobaa una gran
cantidadde subtbos de software.Entre !os ms
importantespodemosencontrarvirus.gusanos.
rootklts.troyanos.spywarey keyloggers
En particular.la mayora del malware desarrolla
do busca atacar sistemasoperativosWindows.
En 2010, Symantec
encontr ms de 286
millones de variantes
nicas de malware
(Fuente:SymariteclntemetSecurityThreat
ReportTrendsfor2010)
El 64% de las empresas ha
A continuacin. presentamos una lista con
experimentado problemas algunos de fos fabricantes de software
"'111

de infeccin de malware antimalware que ofrecen versiones gratuitas

(Fuente:CSISur.iey2009) de sus productos: Avast: www.avastcom.
AVG: www.avg.com. Avlra:www.avlra.com,
Fortlnet: www.fortcllent.com y Microsoft:

La tecnologa de seguridad www.mlcrosoft.com/securlty_essentla/s

Todos cuentan con versiones pagas de sus
ms utilizada es el software productos. que incluyen ms funcionalidades.

antimalware, mientras que

la menos usada es el control En caso de que nuestra organizacin cuente
con pocos dlspositlvos. podemos optar por
de acceso por biometra instalar alguna de las soluciones gratuitas que
(Fuente: CSI Computer Crime aoo Se<:urity Survey) se ofrecen en el mercado
La mavorte provee capacidades de deteccin
Figura 11. La empresaComodoofrecesoftware basteas. y no cuenta con la posibilidad de
(www.
gratuito para la proteccin contra matware gestionarse en forma remota. aunque esto
ccmcec.ccrrv. es algo que no nos preocupa si debemos

Conflurnc1ntldi\11<1hls "

t Ar4bbtn~~ ArlAlllllMlrull AMWIP'ro,-~ ExcbblH

l'rot~eo~Relll

t
U......Hl..,1'.r:~M
l...orotc<;di,..,
TadoesenabadotnaccHD
Elestadodf!Wlnspeatndelard'iv'ounentaW!wlodd.addi!I
"'6bl5tn~rffl

Sebe1m1

'WO

Ir;,
Defensa

"'"""' ........
rwveldf!~tb{Anihh

1 ~=
No~c!Wosmisdf!(l>B)

Ot:tenefr.61i:!issisetomatsdf!(~)~

00
~1""""'11~
 Puertas traseras Spyware
0.08%
1.89%
Otros
Adware
2.27%
1.18%
. '
. IJ
~ usuarios
Figura12. El grfico muestra estadsticas sobre la
clase de malware que se encuentra en Internet. La
mayoria de ellos son troyanos.
proteger una pequea cantidad de servidores
y estaciones de trabajo.
SI nuestra organizacin cuenta con un gran
numero de dispositivos. debemos elegir una
solucin anumaiware paga. En este caso. de
beremos evaluar con mucho cuidado tanto las
capacidades de deteccin. como el soporte y
la interfaz de gestin centralizada que provee
el fabricante. Estos tres factores son funda
mentales al momento de seleccionar una
solucin de este tipo
Adems def software antimalware. existen
otras medidas que podemos tomar para re-
ducir el riesgo de infecciones. Por ejemplo.
podemos implementar filtros de navega-
cin web que bloqueen et acceso a sitios
sospechosos. Mucho del mafware existente
se afoja en sitios de descargas gratuitas.
pomografia. juegos online y otros similares.
Debemos tener en cuenta
que una de las medidas
ms importantes para
luchar contra el malware
es la capacitacin de los
Si ellos entienden que no deben
Troyanos
69.99% ejecutar programas en los cuales
no confen. y que deben evitar la
navegacin por silios web de dudosa reputacin.
tos ataques por rnalware que sufrir la empresa
se vern disminuidos en gran medida.
PROTECCIN EN CAPAS
Como analizarnos en captulos anteriores. el
concepto de "defensa en profundidad" nos
permite aumentar enormemente la seguridad
de nuestros sistemas al implementar varias
capas de defensa. En el caso del malware. esto
puede llevarse a la prctica implementando
varios controles en diferentes puntos de la red
Por ejemplo. podernos contar con:
Un dispositivo UTM que se encargue de
analizar todo el trfico que entra y sale de la
conexin a Internet
Un software antimelwareen el servidor de
archivos. que se ocupe de analizar todos los
archivosalojados en l.
Un software anttmelware en cada estacin
de trabajo.
Con estas tres capas de proteccin. correcta
mente administradas y actualizadas. se vuelve
casi imposible que un software malicioso consiga
ingresar en nuestra infraestructura
Tambindebemos tener en cuenta que. si bien
cada una de estas capas es importante. pueden e
 Figura 13. Aqu vemos
cmo podemos
configurar el flrewall
de Windows a travs de
Group Policies

'~t~;.;-~~~~
.Jf:=~~~~
ll~.:::.

darse casos particulares en los que una sola

tenga que hacer todo el trabajo. Por ejemplo.
los virus que se alojan en un pendrive USB
podran ser detectados nicamente por el
sistema antlmalware de la estacin de trabajo
correspondiente. Por esta razon es de vital
importancia que cada una de las medidas de
seguridad se encuentre en perfecto estado
FIREWALLS
Actualmente. todos los sistemas operativos
coeotan con sistemas de flrewall. va sea para
servidores o para estaciones de trabajo. Tanto
Windows Firewall (sistemas Windows). como
IPTables (sistemas GNU/Linux) y PF (sistemas
OpenBSD) son excelentes herramientas para

g, ..,,...~... ~@El

c;g~_f>2.n! ~NEA0~~~,~f..f.~~~f~~EWALL

--
. ,_
t'J ~.,:.~..e!:~~~e.!~N!.:" Is requlred .
(!Jo........

mr-o1 Addltlcm1IServlc1n

~ 11
F~KWnll
GIPr<o-c:c..i:..M ~"";~w:PC.
QMi"""'
m~.~~ 'i'~:=i-
1m
Figura 14. ZoneAlarm

==~
Arni-viu/Anti-..pyw1111t
(www.zonealarm.com) ~S.cureO......U..k""
111:S1li:i:b~11'1!a:&111:1111
es una excelente

1 -~\11- 'i~~~=
alternativa al firewall de mM11phl&hlng

8 Windows, que cuenta lllAol!lllllllllllD~emam

~
1 Ciil
con una gran cantidad
llOWll~ Lox:~
de caractersticas y
!1111U!f11!i!l;tg,llillrn11tli1!ll:1
=> es desarrollado por fa
~
D
w l!llilrl""""'nnw'lllol~rr
famosa empresa de
41) seguridad CheckPoint. OHlp
bloquea' los puertos de nuestros sistemas a los
que se puede acceder desde la red. En el caso
de las plataformas Microsoft. podemos ercon-
trar varias soluciones que intentan reemplazar
al firewall incluido por defecto. En este caso.
deberemos analizar qu ventajas y desventajas
podra traernos implementarlas.
En los sistemas Windows. es posible realizar
excelentes configuraciones a travs de Active
Directorv para mantener un estndar de puer
tos permitidos. Con esto nos aseguramos de
bloquear algunos de los ataques ms comunes
realizando un esfuerzo mnimo
El 50% de las empresas
utiliza firewalls en sus
servidores
(Fuente: CSI Compuler Crime ano SecurilySurvey)
Debemos considerar la implementacin de
flrewalls en las estacones de trabajo como medl
arketa
otskS1or11geUHge
01-511
,IO!lfS..,tll
()e.u.a.
--
"'"""""'
~
., .........
da de seguridad opcional. y analizar cunto traba
jo puede llevarnos mantener las reglas de filtrado
de cada sistema. con respecto al beneficio de
seguridad que nos representa. En la mayora de
los casos. deberemos optar por implementar una
misma configuracin para todas las estaciones
de trabajo. con el fin de simplificar la gestin de
reglas. aunque esto haga que nuestra configura
cln diste de ser perfecta
Cuando nos referimos a estaciones de trabajo.
generalmente no necesitamos que haya puertos
abiertos a la espera de conexiones. Por lo tanto.
podemos optar por cerrar todos los puertos
salvo los de administracin remota.
En el caso de los servidores. debemos permitir
nicamente las conexiones a los puertos de ser
vicio. y solo desde los equipos que tienen motivo
para conectarse.
Figura15. El fabricanteArkeia cuentacon una
gran cantidadde productosparael resguardoy la
recuperacin de datosrwww.erkeraccmz
........~ ..
., ._,
., ..
., ...._..,._9
,..,.. _"'"'7"11)"
...
 BACKUPS
La mavorta de nuestros servidores (por no decir
tocios) tendrn alguna informacin que debera
ser resguardada por si algo malo llegara a suceder.
Y. cuando hablamos de algo malo. debemos
considerar varias posibilidades. como fallas de
discos. errores de usuario. ataques de rnalware.
y otras acciones. Es por eso que la realiza
cin de copias de seguridad es una tarea
prcticamente obligatoria en todos los casos
Solamente debemos pensar en la cantidad de
datos por respaldar. la frecuencia de respaldo
y el tiempo durante el cual vamos a almacenar
las copias antes de eliminarlas.
Tanto si vamos a realizar copias de bases
de datos. como de configuraciones. correos
electrnicos LI otros archivos. el uso de herra
mientas especificas nos simplificar la tarea
de manera notable. Por esta razn. una de
nuestras primeras decisiones cuando pen
samas en respaldar los datos es seleccionar
cmo lo haremos. Para esto. podemos optar
por herramientas pequeas. diferentes para
cada sistema operativo: o por herramientas
grandes. que se adaptan a cualquier entorno.
Esta es una decisin que depende ms de
gustos que de necesidades.
El 47% de las empresas
nunca realiza copias de
seguridad de sus datos
(Fuente:Symantec 201o SMB nrormaton ProteconSurvey)
HERRAMIENTAS BASADAS
EN AGENTES
Muchas herramientas del mercado que estn
basadas en la arquitectura cliente/servidor
e utilizan agentes instalados en cada uno de
los dispositivos de los cuales vamos a hacer
copias de seguridad. Esto suele darles ms
control sobre los parmetros que se van a
configurar. y permite que el agente realice
tareas como compresin y encrotacrcn de
datos. En estos casos. son los agentes los que
se conectan con el servidor principal para
efectuar la transferencia de datos.
HERRAMIENTAS SIN
AGENTES
Existen otras herramientas en las que el servidor
realiza las conexiones cuando se van a generar
los respaldos. Estas conexiones. por lo general. se
hacen a travs de Interfaces de administracin.
como SSH. RPC o SNMP. Estas herramientas sue
len ser menos flexibles. pero no estn limitadas
a los sistemas operativos para los cuales se haya
desarrollado un agente.
SCRIPTS PERSONALIZADOS
Los grandes aliados de todo administrador de
sistemas son los scripts personalizados que
realizan tareas puntuales: por ejemplo. hacer
una conexin a travs de SSH. crear un archivo
comprimido con todos los datos que se necesita
respaldar. encrorano y transferirlo a travs del
protocolo FTP a otro servidor. Sin dudas. pece
En la seguridad en redes tradicionales. se
utiliza et bloqueo de puertos no vlidos para
proteccin. pero en apficaciones web es ne
cesara ta exposicin del puerto 80 (HTTPJ.
por fo que disposilivos como firewa/ls e !DS
deben permitirlo y analizarlo internamente a
fin de evitar ataques.
 ,......
.~
Algunas de fas mejores herramientas para
clonar discos. que cuentan con una gran
cantidad de csrectertsucss. son: Norton
Ghost, herramienta comercial (www.ghost.
com): Clonezllla. de cdigo abierto (www.
clonezllla.org
J: y MondoRescue. de cdigo
abierto (www.mondorescue.org).Para
consultar una /isla ms detallada:http://
en.wlklpedla.org/wlkl/L/st_of_dlsk_clo
nlng_software
. MULTIFACTOR
mos sacar gran provechode la implementacin
de este tipo de herramientas. que son pecuenas
pero muy potentes.
Por ejemplo. con el cdigo que se presenta a
continuacin. podemos. desde GNU/Linux. rea
llzar una copia de las bases de dalos MySQL de
cualquiera de nuestros servidores
#!/bln/bash
USER=usuario
PASS=clave
for db In 'echo "show databases" I mysql
u$USER p$PASS I grep -v "mysq1$ I grep -v
"Data base$';
do
mysqldumpedddrcptable -routtnes u
$USERp $PASS${db}>${db}.sql;
done
RECUPERACIN COMPLETA
Existen herramientas desarrolladas con el objeti
vo de recuperar un sistema completamente. es
decir. tanto el sistema operativo como los datos
y las configuraciones. Esto se logra creando una
imagen del contenido de los discos de almacena
miento. Este tipo de herramientas suele llamarse
de "clonado de discos" o de "recuperacin de
desastres. porque. en general. se utiliza en ltima
instancia. cuando todo el sistema est inoperable.
Tambin son alternativas que pueden usarse
para realizar instalaciones masivas. tanto de esta
ciones de trabajo como de servidores
Es un excelente recurso clonar discos para
instalar automticamente estaciones de trabajo
preconfiguradas de forma segura
AUTENTICACIN
Para las conexiones a servccs crticos. podemos
utilizar lo que se conoce como autenticacin
multlfactor .En este caso. le solicitamos al usuario
que se identifique no solo con una cootrasera sino
tambin con algo que tiene en su poder. corno una
llave USB. Este es un concepto muy relacionado
con el de defensa en profundid
ad. en el cual
implementamos varias medidas de seguridad para
proteger nuestros activos de informacin.
El 36% de las empresas
utiliza alguna solucin de
SmartCards o tokens
(Fuente: CSI Computer Crime ano SecurilySurvey)
A continuacin. analizaremos algunos de los
factores de autenticacin ms utilizados.
TOKENS O SMART CARDS
Estos dispositivos electrnicos. bsicamente.
presentan una clave adicional que se genera en
forma dinmica y aleatoria. y permite demostrar
que el usuario se encuentra en posesin del
dispositivo al momento de ingresar sus creden
ciales. Existen varios tipos de mtodos para
lograr este fin. pero. en principio. todos cumplen
con la misma funcin.
 tokens SecurelD.
desarrolladospor
RSA. que muestran
ejemplos de los
valores aleatorios
generados.

TOKENS VIRTUALES TARJETAS DE

Los tokens virtuales buscan ser una alternativa
ms econmica que los tradicionales. al recurrir
a un dispositivo que el usuario va posee. Esto
suele lograrse con la instalacin de un software
en una taptop o telfono celular del usuario. que
cumple con funcionessimilaresa las de un token
tradicional. Si bien puede discutirse que el nivel
de seguridad en este caso es inferior al de los
tokens tradicionales o smart cards. estos son una
excelentealternallva para aquellos casosen que
nuestros recursos econmicos son escasos.
Figura 17. MoblleOTP que permite a los telfonos
celulares trabajar como dispositivos de token virtual
(http://motp.sourceforge.net).
COORDENADAS
Una opcin an ms econmicase logra por
medio de tarjetas que tienen una serie de filas
y columnas. en las que cada combinacin de
ila/columna representa un cdigo nico. Al
momento de autenticar al usuario. se le solicita
a este que ingrese el valor. por ejemplo. de
'Flla A Columna 10.
La principal ventaja de este mtodo es que
las tarjetas pueden ser generadas automti
camente por un servidor. y distribuidas por
medios electrnicos seguros (como un correo
electrnico cifrado). Esto resulta en un costo
prcticamente nulo.
Aunque debemos considerar que es el mtodo

Moblle One Time Passwords

MobileOTP

21dot.umn=ru.re,;...,~~l:lli:laiwti12S.M.w~
fi.111 \i!i.!Hli!i
 ABCDEFOH
'2 212 635 253 432 198 236 149 325
113 228 339 446 55!1 662 774 888
3 212 635 253 432 198 236 149 325
4 953 56!1 113 228 339 448 !l!l!I 662
5 212 635 253 432 198 23& 149 325
"
e esJ eee 113 ua 339 448 ese 6152
7 212 635 253 432 198 236 149 325
8 9!13 56!1 113 228 339 446 !l!l!I 682 SI hay un aspee/o de la seguridad que
9 212 63!1 253 432 198 238 149 325
1D 953 56!1 113 228 339 444 SM 682 se ha mantenido prcticamente sin
'---582 365 689 ::..111 modificaciones desde que empezaron a
~
implementarse medidas de proteccin en
Figura 18. En la imagen podemos ver un ejemplo de
los sistemas. Este es la autenticacin por
una tarjetade coordenadas utilizada por un banco
medio de usuario y contrasea. Los nicos
para la autenticacin de sus clientes.
cambios que sufri con el correr de los
ms inseguro de todos. por varias fallas que aos se han dado en la longitud y comoe-
podran asociarse a esta tcnica. podemos decir jidad recomendada para las claves. Lleg el
que es mucho mejor que utilizar autenucacon momento de empezar a implementar me-
simple. Junto con los tokens. es un mtodo muy didas de seguridad ms avanzadas. debido
empleado en el sector bancario para realizar a que la mayorfa de fas organizaciones
transferencias electrnicas de dinero emplea sistemas que procesan o a/mace
nan su Informacin ace. Es por eso que

Es mejor implementar se recomienda encarecidamente. por lo

menos. realizar un anlisis de la criticidad
una buena medida de de los sistemas y, sobre esa base. esludiar
la poslbilidad de implementar lecnologfas
seguridad econmica, de autenticacin nwnsecio: Debido a que
que no implementar una el costo de estas tecnologfas se ha rea-
cao constanlemente con el correr de los
excelente medida de aos. encarar este Upo de proyectos ya no
seguridad costosa supone efectuar una inversin econmica
tan importante como ocurrfa hasta hace
algn tiempo.
BIOMETRA
Esta tecnologa se encarga de verificar la
identidad del usuario comprobando factores
que estn relacionados con la biologa de la
persona (de ah el nombre. "bometna").
Algunas de las caractensncas ms utilizadas
son: escaneo de iris. escaneo de retina y esca
neo de huellas dactilares.
Estos mtodos tienen un alto porcentaje de
fiabilidad. aunque poseen la desventaja de
que los lectores tienen un costo relativamente
elevado y no son muy portables. por lo que.
 Figura 19. Podemos
ver un dispositivo
que escanea huellas
digitales y permite
ingresar una clave
numrica para
controlarun acceso
flsico.

generalmente. se utilizan para accesos Hsiccs Existen varias tecnologas que nos permiten
y no tanto para accesos remotos. implementar un servidor de autenticacin centra
lizada. cada una. con sus respectivas ventajas y

SERVIDORES DE desventajas. Actualmente. las implementaciones

AUTENTICACIN
La administracin de perfiles de usuario es
otra de las tareas de importancia critica para
la seguridad informtica. porque se encarga de
definir quin, cmo y cundo puede acceder a
los sistemas. Es por eso que siempre debemos
optimizar este tipo de tareas y las tecnologas que
estn relacionadas con ellas.
Al contar con un servidor que almacene la infor
macin de usuarios. grupos y perfiles. podemos
determinar a qu servicios puede acceder una
persona directamente modificando sus atributos.
Solo 10% de las empresas
logra concentrar todo el
ms populares estn basadas en el protocolo
LDAP.que es una especie de base de datos que
agrupa los registros en un formato de rbol
El producto ms implementado actualmente
es Active Oirectory (desarrollado por Microsoft)
pero tambin hay otros. tanto comerciales como
de cdigo abierto. En el caso de los productos de
cdigo abierto. podemos destacar a OpenLDAP.
FreelPAy Mandrivalrectorv Server.
ActiveDirectoryofrece una integracin muy
fuerte con los clientes y servidores Windows.
que nos permite implementar varias polticas de
...
La empresa WikfD Systems ha desarroflado
un soflware de servidor para euienucecto.
nes multifactor. que cuenta con clientes

proceso de autorizacin para Windows. Mac. Linux. B/ackberry. Palm.

Windows Mobife y J2ME. Tiene una versin
de usuarios en un nico de cdigo abierto y otra comercial que
ofrece una mayor cantidad de funcionalida-
sistema des (www.wikldssystems.com) .
G (Fuente:KPMG jntcrmaton Security Survey)
~~"t i<-~~ ll"l Figura 20. Las Group

<:>~f'!;J@1Etle,X@I~
Poli eles de Active
O<!lnult
Directory nos permiten
definir mltiples
1-- .......c opciones de seguridad
J!>ofolo-.i .............. ....;ou. .... w.odto,..GPO-
para nuestros equipos
Windows.

=
~~I
w111ro11... "'
lMGPO~odto"'f<l""""Cll:(r.11,.....

1- 8

seguridad y plantillas de configuraciones.Esto lizada tienen la posibilidad de brindar varios

hace que. desde un nico lugar. podamos Imple mtodos de autenticacin
mentar configuraciones. establecer polticas y
distribuir software.
Los servidores de autenticacin nos permiten
La mayora de los accesos
centralizar no solamente las credenciales de no autorizados suceden
acceso para nuestras estaciones de trabajo y
servidores. sino tambin los accesos de nues
a travs de cuentas de
tros dispositivos de telecomunicaciones acceso autorizadas. Si las
En el caso de Active Dtrectorv podemos habi
litar el protocolo Radius utilizando los mismos mantenemos controladas,
datos de cuentas que se encuentran en la habremos dado un paso
base de datos LDAP del producto.
Todas las soluciones de autenticacin centra importante
1".treelPA ~
m ~mll OOUCllS A CO~'ICll<l~TI<l!OS
Ldl~~~~~

Vlew!ng Group: Adm!n

D
-1>~

......
........, EJ ... 8

..... ~-
:EJ"'EI
..
-
"""""'
Orp0<0

"""""' Figura 21. El proyecto

""""
"""""' FreelPA ofrece una
solucin libre para la
gestin de identidades
lhttp:/ffreelpa.orgJ
 Figura 22. MDS es un
software que permite
autenticar tanto
equipos Microsoft
Windows como
equipos UNIX. (http:f/ ,.._""_'_"'
__ -c-.
mes.manortvai
ANLISIS DE LOGS
El almacenamiento y anlisis de registros (o
1ogs") es una de las tareas ms importantes
en lo que a la seguridad informtica se refiere.
Muchas herramientas de seguridad estn basa
das en el anlisis de este tipo de registros. y nos
permiten conocer estadsticas y sucesos sosoe-
chosos. lo cual nos da la posibilidad de analizar
tendencias y deducir comportamientos futuros
Adems. debemos considerar que los atacantes
siempre intentarn eliminar los registros en los
sistemas en los que hayan podido penetrar. a fin
de borrar fas huellas del ataque. Otro aspecto
importante del anlisis de loqs es que puede ser
utilizado no solamente para conocer los eventos
pasados. sino tambin para proyectar los even
tos futuros. Este es un aspecto clave. porque un
anlisis detallado de los logs nos permitir tomar
decisiones acertadas acerca de qu medidas de
seguridad implementar o reforzar. Es por este
motivo que resulta fundamental contar con un
G servidor centralizado. en el cual podamos alma
(}tMandriva
': :"::''=====~~
11nmurn1P<l<a<lI
"""'''"'O<lt<a<l<\!3628800
"""''"'"'~~e=:=====~
--
cenar todos los registros de nuestros sistemas.
Una de las tantas diferencias que existen entre
los sistemas operativos Windows y UNIX es el
formato de logs utilizado en cada caso: "svsloq"
es el ms empleado en UNIX (tambin utilizado
en la mayora de los dispositivos de telecomu
nicaciones). mientras que "Evertt.oq" es el que
emplean las plataformas Microsoft. Debemos
tratar de unificar este tipo de logs. e implementar
una herramienta que nos permita gestionar y
analizar todos los datos en un nico lugar.
Ya sea a travs de herramientas complejas o
de pequeos serene realizados en algn en
guaje como Perf o Python. debemos imple
mentar alguna metodologa de andlisisde
logs. Esto nos oemnre simplificar nuestras
tareas. realizar anlisisen uempo real. recibir
notificaciones y contar con una mejor com
prensinde nuestra infraestructura.
 C:re~tc l 1~ .., Ho>t 1 New Ale1tProfile 1 riw Report 1 New Filter 1 lmPort Log A~~noedSerdl----~
Fr~m: 2009-090a 00:0
Dashbcard To:Z009090Bl7,l

.. ,.,.

Vewporn~oo ::JJ).j!~ii.Jl.llillOQllliQ .<.Jl.ll

-
~ o ~ o"" ""' ""' ,.,.
X
~
.
uni~Vrovp W1
o illJ.
"" ""'

-
X
~ o"" ""
~
~
~


X
X
X unlxVroop
o"'
o"" ... ,.
""' ""' ,.,.
o"" =
""' ""' ,.
X
~
""' ""' ,.
o WJ.
o WJ. ""' ""'
X
~
uniCrOYP ""1
X
~
~UnixVroop ll1'
X
"""' o""' uza e
""' ""'
Figura2l. Eventlog Analyzer. que nos permite centralizar los /ogs en formato tanto Syslog como Eventlog
(www.manageneglne.com).

SERVIDORES varias fuentes de informacin para comprender

exactamente qu es lo que est sucediendo
CENTRALIZADOS Debemos prestar mucha atencin a configurar
correctamente el servidor central. para que tos
Para poder realizar un verdadero anlisis de los logs se almacenen como corresponda. no pue
logs de nuestros dispositivos. es necesario que dan ser modificados y se les haga una copia de
estos se encuentren centralizados en un nico seguridad en forma regular. Tambin tenemos
lugar. Esto. adems. nos permilir hacer una co que considerar que el servidor de logs podra ser
rrelacin de los datos. de modo que podremos nuestro nico recurso para analizar las caracte
reaccionar no solo ante los eventos ocurridos rtstlcas de un ataque o cualquier otro evento que
en un sistema. sino tambin sobre la base de la haya impactado negativamente en la inlraestruc
relacin que existe entre los eventos de venos tura. A continuacin. explicamos algunos de los
sistemas. La correlacin de eventos es de suma aspectos de seguridad que debemos considerar
importancia si verdaderamente queremos tener al implementar un servidor de logs centralizado
un control sobre lo que sucede en nuestra
infraestructura. porque no siempre podemos ob Los archivos de logs no pueden ser modifica
tener toda la informacin necesaria de un nico dos. salvo para eliminarlos cuando haya pasado
dispositivo. Por el contrario. a veces necesitamos el tiempo de retencin definido.
 Los logs deben ser analizados automticamen casi necesaria. pero debemos tomar los recau
te. para generar reportes de fcil comprensin. dos de seguridad apropiados al implementar
Se debe implementar un sistema de alertas. estas tecnologas. Gracias a este tipo de herra
que notifique a los administradores acerca de mientas, podemos tanto simplificar nuestras
sucesos que requieran atencin inmediata tareas y optimizar nuestro trabajo. como abrir
grandes vulnerabilidades en los sistemas. Es por

ADMINISTRACIN REMOTA eso que debemos planificar correctamente la im

plementacin de herramientas y protocolos de
Las herramientas de administracin remota son gestin remota. Algunas de las consideraciones
utilizadas. normalmente. para gestionar los serv para tener en cuenta son comunes para todas
dores y otros dispositivos sin tener necesidad de ellas. como buenas polticas de autenticacin. en
acceder fsicamente a ellos. Esta comodidad es cnotacn de datos. etc. De ser posible, debemos
seleccionar una misma herramienta de gestin
Figura24.lnterSect Alllance (wwwlntersectamance. para todos los disposilivos o. por lo menos. una
comJ desarrolla herramientas cuyo objetivo es herramienta para cada tipo de plataforma (por
central/zar y analizar los /ogs de varios tipos. ejemplo. UN IX. Windows y Cisco).

oQ
file id11 ~ew !;!_o .ookm~s Ioo!s !:!clp

<,pi ~ ~~ ~1 h,,,:11,.,.
seoor.ln e. ,-,.-~-A_R_EX:-
K,.,,,~ ..,,ChKkirl91,,,..c~1wPIXC~
...-,A-RE-
...-. ~... Y.>co
SN~ e fl!.MlifHiiUiiijifff"\.l!h!.1.. l'"~.
~2U2LJ _:!:... I ~~~
... ~ 1 ... -A..~ 1

r~-~ .,.,.,r<>tllfrNjllfm ........ llol!olCISCOIOSCll>IClr<'f ...... ..,.,, ... f't)ilitfWd, O<CISCO/loltlor, l'/f OC/lr:l1" ...
Sunvnor,1 ~llOcom.<110l1M-"""'9tl11tttHtr'pn>IO>tM~ll>oou,,.n1o:1t1119'wallon.T1'1am1nramlig!.<IO>wl....,o.t-""qMn
1i.t110<_,'Mllll',,.'lldl1nr.s
... i../!lifl)fj>lf<I
1

ThlobjKtlvew.er.glile .. ledonZIAuguel200~11:0:Z:04

New

,...,
Bullcllngeon!lguratlan ... BtJlldlngeontlgurot!on ...

PIXVerrJon6.112l PIXVa,,,onfi.1(2)
oan1elleth11111110ou1aidtsecurilyC n811itil11heine10ou18ide1ecurityO

namollo!homon lnrAdoGCCurlly100 nam0Holhomot1 ln~ldose<:url1y100

n1m1lt11i11m112dmzHourlty5o nam1K1lh1met2dmzsecurit)'50
11nablaf)'l-rd" .. "'"'''""111Cl)Pld onablepoarwortl"" '"""enay~od
paSS\\tl'""'""""""""'""""'"enc1W100 1X1sswci""'"'""encryp1od
8CCt11lilllacl_oulp1rmi11cpa11yboS1otllsldt_emaileq_,, ecce8$-lS1acl_ou1perm.1lcpanyho11ou1sidt_tm911t<VNM

+1cc1ssli111acl_ou1per111'11cpanyho81ou1sidt_tmail1cBolme1h'ng
oo::ess.llS1acl_au1pmnltti::panybot>1001slde~emall1pop3 accesslistacl_ou1porm'ltcpanyho!:lou1side_emallpop3

llCCDO~~l"1 80 p<1rmh i> 192.169.lC0.0 255.265.255.0 10.0.3.0 accoos~1ot&Opormi1ip192.16&.100.0265.255.255_0\0.0.3.0

e .
255.255.255.0 255.255.255.0
llCCH&-lill 00 permil ip 192.Je9.1C0.0255.255.255.0 Hl.M.O
 KpyM Telnet / SSH Server

El What is KpyM Telnet/SSH Server

KpyM T elnct/SSH serve ( l<TS ) is free, open source telnet and
ssh server for Windows. KTS provides access to the host
cornputer vla telnet or ssh protocol. It allows you to run remotely
your cornmand fine applications (dir, ftp, etc.) and full color
console graphic appllceticns (sepconsole.exe. edtt.com. tetrts.exe,
etc.). KTS accepts connection from any telnet/ssh client running on
any OS.

When runnlng as SSH server, KTS provides file nanster and file
menipuletion vle SFTP protocol.

KTS runs as a scrvice and uses the native Windows identificetion

mechanlsm, thus no addltlonal user names ancJ passwords are
stored. Includes an eutornated installjuninstall program and a
console setup. It comes wlth complete source code dlstrtbutad

Hz "1 lnb.. [biil Do Ena... Do.. lj cap. . 001 Mu. !mi fabl.. & Syn... a

PORT KNOCKING Figura 25. Splunk permite analizar varios tipos de

datos, con el objetivo de saber todo lo que sucede en
Se trata de un mecanismo para abrir puertos ex nuestra red. (www.splunk.com)

ternamente en un firewall mediete una secuencia

preestablecida de intentos de conexin a aquellos
que estn cerrados. Una vez que el firewall recibe
una secuencia de conexin correcta. sus reglas
son modificadas para permitir que el host que rea
liz los intentos se conecte a un puerto especifico
Si bien la idea no ha sido puesta en prctica en
una gran cantidad de organizaciones. representa
una excelente opcin cuando necesitamos dejar
un acceso externo hacia nuestros Sistemas para
casos de emergencia. pero buscamos que dicho
acceso est cerrado la mayor parte del tiempo.
Normalmente. se utiliza en conjunto con SSH. para
tener acceso a una lnea de comandos del algn
equipo de nuestra infraeslructura. Es casi imposi
ble que una persona que no conozca la secuen
cia correcta para abrir un determinado puerto
consiga detectar el comportamiento de nuestros
sistemas. de modo que es un mtodo realmente
seguro para un acceso remoto
WMI
Windows Management lnstrumentation es
una serie de extensiones que permiten realizar
Figura 26. Vemos la utlllzacin de knockd para
implementar un solucin de Port Knocking en
sistemas Linux. (www.zeroflux.org/proJects/knockJ
la administracin remota de sistemas Micro
sort Windows. Est basado en los estndares
abiertos WBEM y CIM. desarrollados por el
Distrlbuted Management Task Force (DMTF).
Utiliza la autenticacin del propio sistema ope
rativo. que suele ser por base de datos interna
o por Active Oireclorv. lo que nos permite sim
plificar la asignacin de perfiles. y definir quin
puede administrar los equipos y quin no. En
el ejemplo que est a continuacin. observa

Figura27. Algunos de
los p/ugins para Nagios
nos permiten agregar
soporte para monitoreo
a travs de WMI. (http:ff
exchange.nagios.org/)
 Figura 28. Solarwinds
tt....,lmont .. ftllod..lSiJIS ... CJOcw<food ... ;!>.,.nklgd CJOow<fOll~
desarrolla herramientas
para el monitoreo de
redes. muchas de ellas,
solarwtnd;'f
con soporte para WMI
(www.solarwinds.com)

,,..,.,_(_Q
~
"'""!"".. ~.....~
"""'' .. """"

"""'"'"''"'"'"' .."''
,,.,.,,P.,,..,1uo

"'''"""""'""'UO'
t>li"'"'!I'''"""'"

mos cmo puede utilizarse WMI a travs del Figura29. MMC es la herramienta de los sistemas
lenguaje C# para consultar el SSID de la red Wlndows destinada a la administracin de usuarios.
inalmbrica actualmente conectada: servicios y otros parmetros.

-~-
l
:;;ieon .. ~- Ju .. , ~0111<1- .!.~,.~,
~~~';;; 'ill tlo jo .. oo'uo:. ir..t<ltcl/ [APl>'"'a'

s
! 6,~i:.~~~11 _..,.,,.,.:;c.,~ol""1<2Sl..,4o....,(l;tll-1t1>'1'*'r,.ocn.~,_, JoQooo ..
~;'.lUi><lltts 1 5ut;ltl<l.,.foo-~(Ul&ll&7~) Senoyl.WJO: ..

~vLI' "',..,.,.,of\,1/1:1 F--~1.1,P1 '""tt<.1>:!<11f.,.'>lndo""ltw.-.JWn;1.>,,>11>( ...

$ ~ ~;;;~:: :: :::',~:~:::~~~)

~= : :::~=:~:::::;:~:::
=~;! ~: :=~=:~::::::::::::;:::::: : : :~)
: .;;......,,, JJC>olh""l!odolokt/o'l<r"oft~Uh[m-KB\llw;it.lVoflnt""l.9S.M.)

::~:..~=~~7i~~;'.~~
JllSl<ll<t~ ... r"'...,,,."">IP(l;11"8!W)
lll!o<l"'"'""'4o""'>r1'/(~
.h~"''"'""'<1o ... >11>(rll97l?1n
ill-"'>IPSo"ooP><l<2
,,,l!o<l,.fctc:f~ .. 2Cl0(<&007'1')
.l.S0<ll!t<.l>:!llofa...,,,.o,,.>1Pltl.Wll6i5)

~--~y,......Oblb .. o>je<U;e.:il"alooo<!.al"''""U(l;$to"""'"""'Y"W"'...;c..,-0>oo<1s)<l .. l"<i~""'""ol.,...l.Yo..Jc.o~i:o01..:t11cOll'"'-''by

">Wh1d'flw!ofrom~.-"IWY<l'J""ltl"t! .. 0>,yO<J-i>o"-<IO~lO<t)'W-
ManagementClass me= new :.1
ManagementClass("root\\WMI",
"MSNdis_80211_ServiceSetldentlfler",null>; Una de las implementacionesms popu-
ManagementObjectCollection moc =me. lares de cdigo abierto del protocolo VNC
GetlnstancesO; para sistemas Windows es UltraVNC Este
software cuenta con muchas caractersti-
foreach CManagementObject mo in moc) cas interesantes.como autenticacin por
{ Active tnreaorv: lransferencia de archivos.
string wlanCard = (string) encriptacin de datos, y otras. El proyecto
mo["lnstanceName"J; ha desarrollado tanto un cliente como un
boo! active; servidor(www.uvnc.com).
lf (!bool.TryParse((strlng)mo["Active"J. out
active))
{ sistemas UNIX y Wlndows. Si vamos a utilizar
active= false este tipo de protocolos. debemos asegurarnos
de configurarlos correctamente. para evitar posl
=
bvtell ssld (byte[))mo["Ndls80211Ssld"); bles accesos no autorizados.
}

RDPYVNC
Remate Desktop Protocoly Virtual Network
Computlng son protocolos desarrollados para
permitir el acceso remoto a los escritorios. tanto
de estaciones de trabajo como de servidores. En
ambos casos. existen versiones disponibles para
SSH
Como analizamos en el capitulo anterior. el
protocolo SSH puede ser utilizado tanto para
administrar servidores como para implementar
conexiones del Upo VPN o crear tneles para
aplicaciones especificas. Es particularmente
popular en los sistemas del tipo UNIX .

~ KpyM Telnet 1 SSH Server

8w1111tls1CprHTelnel/SSHServe1
l<llYM 1d'lcl/SstlS"""1r( KTS l I fme, """"'''rutchcl en~
oh C<VCr or Window ICTS~lda <>e t<> 1hu hot
eon"()uto?r la 1dne1 or Sih ~too:cr. lt aliar. you to nnremotely
yout "''"""'ndlN.., <>Pll~>tko1> (dr, ltp, etc.) lrd r,.""lor
nonll~Q'l'!>hl<"f'Jllic"tloo,. (.._.,...olee. P.d<I <om,tP.ltl~e.

Figura 30. KTS es un ~~

etc.).KTS<>moii:sconnoctlonftom'r;lQlnetlsshdlontru-nlnacn

servidor de Telnet y Wh~n runnl.-.;t.., SSH """'" K1Spr<Mdc~ !llo troof" oM lle

SSHpara los sistemas "''"""""'"'' 11l0Sl'TP~t1lle>I

KTS>ui~Moe<Vicc<n:IU!19lhnotl""W"'dowi<lontioc<>rion
operativos Windows mHhni.m, t~~,...bddltl<>nal ...,., na~ ard pas~ r
tc:ir>I [nd"""5<>n<>otomolcdW.ou)l/...,;1,.tollan:1gr<>mlrd<>
(www.kpym.com). .,......,.~..,rup_lt oom@~"i!h ""'"'*'"'"oo'""'""""d.grnt>..Jl~d
 Figura31. En Windows. 2)
podemos habilitar el

-----
(_~ .........
componente de SNMP
con la opcin Agregar
===:.-:::.--=-=---:
....... o quitar programas, del
Panel de control.
~---~

SNMP
Tambin vimos en el caouo anterior Que SNMP
puede ser utilizado tanto para consultar como
para modificar valores en los sistemas. Si bien su
uso es ms frecuente en dispositivos de teleco
municaciones. existen versiones para sistemas
Microsoft Windows y UNIX.
===
operativo. tanto para las conmuscones bsicas de
usuarios. almacenamiento. red y firewall. como para
los servicios de DNS. DHCP. SMTP y muchos otros.
Su Implementacin puede simplificar de manera
notable la gestin de los servidores. permite
realizar tareas distribuidas entre varios equipos
diferentes y define perfiles de acceso para cada
uno de los usuarios. Por lo tanto. es un excelente
complemento para otros accesos. como SSH.

WEBMIN
Este software nos permite contar con una interfaz
de gestin web CWUI) para nuestros sistemas
UNIX. Es un proyecto de cdigo abierto que
lleva varios anos en el mercado y tiene mdulos
para gestionar infinidad de aspectos del sistema
DETECCIN DE INTRUSOS
Existen diversos tipos de software diseados
para prevenir intrusiones en hosts (Host-based
lntrusionPreventionSystems.HIPS). Partlcu
larrnente. hay ciertos factores para observar en

''"'""b'""''"""'"''
,.,_,.,.,,., . .,o...,.u1,,.1<>->""o--oou,., Figura32. En el sitio
web de Webmin

,..,. . .....~ .....,.,...... podemos encootrer

,..,.. ..
~'~7:4::::;~:?~~.~...
..
,..,......., ,.,,~,.,..,-, ,,
varios mdulos

. ...~..~""''..
para agregar
,..
t'
r...
("
~ . '"""""""'"''
.,,.,.. ......" .........
,,...,,,,_..,,.
~ ,.,_,.,,,
_.......,__..,.. .,......,_
__ ,_, L...,~
funcionalidades
webmin.com).
(www.
1 ---
Figura33. OSSEC es
un HIDS que funciona
rento en plaraformas
UNIX como en
Microsoft Windows
(www.ossec.net).
Olil:~!o.. Opl~:iOll,..twtl>uo<l!o<Nlll,.o...:m.~.u~
lotlo.al)'u.fil!MOft1'1''-l.fl&'"'7""'"'',.;"l"""1!1d110<t>tt>.
fNl.tmo>lorhotilll~><tiYrOljlC<IH. .... , ......
. w-J-~ ....,..
l\nwoo_q>o,.""try>t-0.1...:Wql.>o"",M><(IS,Sol.,.,,Hl'-UX,
AIXi:.l'o'lil>ll ..... ,.lirlw11h.dl~~.,;Lnf,,,,..,, .u..u......

un sistema operativo. tendientes a detectar si Registro de Windows: en el caso de las plata

hemos sido victimas de una intrusin. Entre ellos rorrnasMicrosoft. se verifican todas las claves de
algunos de los ms Importantes son: registro y se analizan los cambios realizados.

Integridad de archivos: se verifican el tamao. los
permisos. er hash y otros parmetros de cada uro
de los archivos del sistema. En caso de ercconar
cambios inesperados. estos son reportados.
Monitoreo de registros: se verifican constante
mente los archives de registro (logs). con el objetivo
de detectar sucesos extraos o no deseados.
Puertos abiertos: se define una configuracin
que determina qu puertos deben estar abiertos. En
caso de producirse cambios. estos son notificados.
Cada herramienta parttcuar puede tener carac
tersticas adicionales. pero todas. bsicamente.
apuntan a detectar comportamientos extraos o
no deseados en el sistema operativo. y a repor
tarlos y/o bloquearlos

lhrin,.mplOO>-Cl-17231141
st>ot11yuu1
lu .. 90 Pct.lC~l~o.iC>i~l-T
ltoohllldC8fl'<il'l:lf<t>S:~aaMalESACFi!IZ
Figura 34. Samhaln
r>otn1opv..,..011.,0<1ulo1...-d"'"'"1 .. n'w-1<e~
es uno de tos mejores ~1m._old t00>-Clf7214<:1.00
.,,,,,. __ 2000~11fz.?.>'J.:<>
HIDS de cdigo abierto ,,,_--::;i(iW(llfCM72t4(100
disponibles para ... 1.,e-21)(l(fC1172210.!<3

sisremasUNIX.
 Figura35.
ProjectHoneypot
permiteque cada
dueo de un dominio
pueda contribuir a

HELP STOP SPAMMERS

detectar spammers.

'1f-
JJFORE THE'i EVEN
YOUR P,DURESS!

HONEYPOTS nado. porque ese dispositivo no cumple ninguna

funcin real para la organizacin.
Esle Upo de sistemas busca Implementar una Los honevpots suelen emular distintos sistemas
especie de trampa. para atraer tanto a los ata operativos Microsoft Windows. GNU/Linux.
cantes como al malware que intente dispersarse Cisco 105. erctero-. y aparentar el olreclrnten
automticamente. La Idea principal se basa en to de servicios vulnerables (como software
el concepto de que. si el sistema se encuentra
exclusivamente dedicado a su funcin de none Figura36. Honeynet Investiga los ltimos ataques
ypot. cualquier intento de conexin que se haga y desarrolla herramientas de cdigo abierto para
sobre l puede considerarse como mallntencio aumentar la seguridad de Jos sistemas

" _. e l.t lltt1>//WNwt.,...,,.,t1.,.,.v/atlc>Jl

11.bruThollOl>Ol'>OIP'o.c +

Nnvlgall1111 AboutTl1t1Hontyne1P1cject We"1Potr11Chaplar

"'"""""""'",...,. ...,,.....,".......,_l.,..,.,g...,.....,,,.,.._..,,.,,,,,.,!IO.,.,V,,,.....,,
01L1d1ANl""'"'"' _,._....Ul<lll,-tnt1moto..,_, -O>o:tttl.,...,,....._......,,_
'"""'.."""'---"'~,...,.,...,..,.t,...,.,c ,1.o"""""""'"'"'"'d~....,.,.- ..""""'
'"""' .. h'......,"""''"'9<>'"'...,.__,_ ... ,., - . .,,..,u.,.,..,,........_,,ht..,..,.tl<U>t>O
.,,..., ,,., .,.11b "'"'""''"'".,. _, -.-........... - """""'
f<>OH..,1999,1M....,.1no1~,.jt<IN<""""""'"!''"'~~1-...i
...,.....,.,,d.Ou<b>d>00r..g.1M
i... 1t1t1w1ooo ...._

-~,,.,.,""'"JO<i'"'""<r>l~<11aoon-.-..1<H0<<l><l!is...,...-.;""'-'"1"00IOMho.-
....... , .......,....,_..,.,_.,Q...,, .. ....,.~"'1or..,.,.,,,._,,..,..,,,.,.,.,,__wo,.o_.......,
.. .... ~... .......... .,.o;o..,.,.,""""'"'~""""''"""~" ...... """l>'-
"'"'"'.. """""""""'"'""'""'..:tll>......1:1""""""' .... """~'"'' ..'"'
"' .."''""'""''"""'"" ........... . . lo<>;..
""''''" ...","u .. ,._,.,,_,,_,,""''"""o<1uc"'""......._,,....,,.,,._,,.,
"8.... """'""'""~v.........,.u...."''tl&lli<OOt<M4.'1Mltr~au!IO.lm<l<l'W"""'>'1~
S<r'fil:O.."enl'l>~1<S01Pl>91<0!llECT>O
 Dcvctopmcnts of thc Honcyd Virtual Honcypot

...,......,...,..._. =e~:i~==~~s:10bl~':~~~=:1~~~:~11=~~~p~o
HOrieycllS88"'81ll&emon~Mc&WMWll81-0l'l8111!iWOll("flle/1(11'5Cl!llblCOl9IJl."IWltolll'

'""i!ft'
~~5lOonLANlor~IJrl'lNCJOf1 Hor-.'d1mp1av.1~_-HSun~bo.'lllil"'di111mteillllsm11o<,..111:c.1eoc~on1nd
Mi!ili~WIW1 111igdlllll'i ilt<lll'iilOfttr1h~r>o;1oiuli\l\li'mi1Q 11111md1fll d >Wlwlll

lior.yi:!ll4f!IOUrc1~rt11aH0"1dttGMJG1MlalPldCLKlristE-11!<1U9"lio...ycllllll.aCOmmtttl..,.t)'flNlly
c~"""'~bi11'11~id"'""liPflltt,,,,.,..1J>O.t1r>l,111111(111'<JPO<IOINo<'#..,ii.li~-ioeoll(811~,onoltny
.. ui11st~l'l(llroolsolridl1100ThoREADME<nHDncyd'ssoorco"'str>butJ011eodt11e~PoOOKtsalluTibcirol
~~~~-~ oeOlllll~hMcoroibiMdcodelllld<de&1

Figura 37. El proyecto Honeyd es uno de los
honeypots de cdigo abierto ms desarrollados
(http://www.honeyd.org/).
desactuallzado o mal configurado), para atraer.
en particular. a los atacantes que realizan esca
ra. los atacantes nunca tomarlan control real del
sistema honeypot. Adems. suelen utilizarse tc
nicas para tomar eutornattcameote direcciones
de red libres. y contestar a conexiones de red
realizadas a direcciones que no estn ocupadas
por ningn sistema real.

''La
neos de la red. Verdaderamente, ninguno de
estos servicios es prestado. sino que se utilizan
programas falsos que escuchan en los puertos
correspondientes. y responden de manera igual

implementacin
o similar a los sistemas originales. De esta mane

.... de este tipo

de sistemas
Exlsten varias herramientasHIPS de cdigo
abierto.algunas disponibles para mtttptes

requiere analizar
plataformas y con versionespagas que
brindan una mayor cantidad de funciones.

constantemente
como gestin ceniralizada.Afgunasde las
ms reconocidasson: Trlpwlre(http://

toda conexin que

sourceforge.net/projects/trlpwlreJ,
OSSEC
(www.ossec.net)y Samhaln (http://www.

se realiza a ellos
la~samhna.de).
 "
Figura38. La
plataforma WSUS, ~
u.r
:e
permite gestionar
:;!
/as actualizaciones ;:
de los productos w
o
desarrollados por z
o
(www.
~o
Microsoft
1 ~:l\~===i;.,;;;;::i~~
r~=;.=';'.=~::7.~=7.~ .;;;;;i~::i;;q~~ microsoft.comJ.
"~''~=.:='7~'"1"1 ~ =.
~~~~ ra~ ,._

1
~!\)ll"lOO(i

r-ee- r-r:

Ya sea de forma automtica (recomendada) o
manual. debemos estar al tanto de los sistemas
que envlan trfico a las direcciones de red toma
das por nuestro ronevoot.
un parche sin saber qu impacto puede tener en el
funcionamiento de nuestro sistema de produccin.
Cada sistema operativo cuenta con sus he
rramientas propias para realizar la gestin de
parches y actualizaciones. En el caso de Microsoft.

GESTIN DE PARCHES disponemos de la plataforma WSUS (Wlndows

Una de las tareas ms importantes y crticas en
cuanto a la administracin de sistemas operati
vos es la gestin de los parches. que comprende
tanto la seleccin. como la manera y el momento
de aplicarlos. Este tipo de decisiones debe to
marse sobre la base de variosfactores.como el
propsito del sistema. su criticidad y las caracte
rsticas del parche en cuestin.
Server Update Services). que es de uso gratuito y
ofrece una gran cantidad de funciones. tendientes
a satisfacer las necesidades de la mayora de las
empresas. En lo que se refiere a plataformas UNIX
cada distribucin incluye sus herramientas parti
culares. Y siempre tenemos la opcin de personali
zar el comportamiento a travs de scripts.
Existen honeypots desarrollados para

El 65% de las empresas emular exclusivamente un tipo particular de

sistema. con el objetivo de atraer soto cierta
utiliza alguna solucin de clase de ataques o matware. Dos ejemplos
son Artemisa (http://artemlsa.sourcefor
gestin de parches ge.neV. que emula un sistema de voz sobre
(Fuente: CSI Computer Crirne ano Security Survey)
IP: y SpamHole. que emula un servidor de
Como analizamos en captulos anteriores. es de correo mal configurado (http://sourcefor
gran utilidad contar con sistemas dedicados exclusi ge.net/pro}ects/spamhole).
vamente a pruebas. para evitar el hecho de aplicar
Figura 39. Spacewalk
permite administrar la
configuracin de los
sistemas operativos
basados en RedHat
(http://spacewalk.
redhat.com).

o ,...~11- ..~-
o ,... ~,1 -~ .....
a- o .... 1,., ,..._
"' .... c11_.,.,.111 ..

..t~. . ......... Sto"'--

.... ..... ........

...,

'""'""'
G, .. ,....,~ ..
11 ....
. ...,..
l'am
'''"""''' s ...

... ~....... ~... .

GT_,,.. __ 1'101-""''.,.,"

.
~ '""'" ~>l.lit<~~s
.....
""'"'' oo..-m ...1-..
., ............
'fr"'I'
' ,, ......."'

(!lp.,.... lr!<MI
~~ ........... ~. --
--
(!)p.,n........uo "''"""
(!)~...........
~.

............. .,...........,,,.. ~~ ..
(!)p.,.,......uo
'

sLl'Q ........i w .... i. .... ,.

S ~U..,.JCOHl\J '"- ,., ..,..,~_,n.,.o, ""'~'
,....,..,_.... ..,..... ~";, ...........i. ....... ..,,.............

So1 ......./0D.0191
s ._.... ,...,_...,~,.., ...........11o ......
t .Ql\'
s ..., ,_111 .,. ...

PARA PONER A PRUEBA

Ya sea que lomemos la decisin de aplicar 1.zoue aspectos debemos tener en cuenta al
un determinado parche o no. siempre de elegir un sistema operativo?
bemos estar al /anlo del propsito que este 2. Qu es y por qu es importante el hardening
tiene. Como ya mencionamos. es preciso de sistemas?
tener un completo conocimiento acerca 3. Para qu sirve la autenticacin multifactor?
de cada uno de los cambios que elegimos 4. En qu casos puede ser beneficioso imple
aplicar o no aplicar en nuestros equipos. El mentar port knocking?
error o el acierto estar en el porqu de Ja s. Cmo implementamos defensa en profundt
decisin.y no en la decisin en s. dad contra el malware?
6. Qu es y para qu sirve un honevpot?
PARA APROVECHAR ESTE CAPITULO

DESCARGARLOS DOCUMENTOS A LOS QUE SE HACE REFERENCIA DURANTE EL CAPITULO.

CONSIDERAR TODAS ESTAS TECNOLOGIAS DENTRO DE NUESTROS PROYECTOS FUTUROS.

IDENTIFICAR LAS POSIBLES BRECHAS DE SEGURIDAD QUE PUEDEN ABRIR LAS NUEVAS
TECNOLOGIAS EN NUESTRA INFRAESTRUCTURA.
 NUEVAS
TENDENCIAS
En este capitulo aprenderemos a : propsito es reaccionar ante cualquier nuevo
comportamiento que pudiera poner en peligro
ObJetlvo1Reconocerlos peligros de las tantoa las personas como a las organizaciones
tecnologfas mviles. que utilizan las nuevas tecnologas.

''
ObjetlvoZ Conocer, en profundidad, las con
slderacionesadecuadaspara Implementar
tecnologfas de virtuallzacln.

Objetlvo3 Tener una visin acerca de las Nuestra misin:

que las personas y
nuevas tendencias en tecnologfay lo que
Implican para la seguridad.

Como ya hemos analizado durante los caonu las organizaciones

puedan aprovechar
los anteriores. la tecnologa avanza constante
mente. evoluciona a un ritmo acelerado. Por

al mximo las
desgracia. los peligros que podemos encon
trar, avanzan de la misma forma.

nuevas tecnologas,
Podemos afirmar. sin temor a equivocarnos.
que hace muchos anos que no tenemos

teniendo cuidado
tranquilldad en el ambiente tecnolgico. Es
decir. prcticamente todos los aos aparece

de que se las utilice

un nuevo producto o tecnologa que genera
una revolucin en nuestras vidas. Esto provoca

en forma segura
cambios en la forma de trabajar. de pensar
y de vivir, por lo que. a veces. la tecnologa
marca las tendencias. y a veces. tiene que
evolucionar para seguirse el paso a si misma. Esto hace que la profesin sea extremadamente
Particularmente. la seguridad inlormnca se emocionante.y le da una naturaleza de investi
encuentra siempre un paso por detrsdel resto gacin constante.que pocas otras profesiones
de los aspectos tecnolgicos. no por carecer de encuentran. En las pginas siguientes analiza
creatividado de especialistas. sino porque su remos cules son las nuevastendencias. las
tecnologas emergentes. y cmo podemos
implementarlas sin poner en riesgo la seguri
dad de la organizacin.
WEB 2.0
Este concepto no se refiere a una actualizacin
de las tecnologas o protocolos. ni a un uso pun
tual de ellos. sino ms bien a una nueva forma
de desarrollo que tiene como objetivo poner a
la Web en el centro de la escena para facilitar !a
posibilidad de compartir informacin. la interope
rabllldad. el diseo centrado en el usuario y la co-
laboracin. Esto dio nacimiento a las comuntda
des web. los servicios web. las aplicaciones web.
las redes sociales. los servicios de alojamiento
de videos. las wlkls. los blogs, y otros servicios.
Particularmente. algunas de las tecnologlas ms
involucradas en la Web 2.0 son CSS. AJAX. RSS/
0t (. Vlow lill!O<Ylloo.,.,_kl Tooll lil~P
,, :j rnm1u:/WYM'fo<oboolc.<Oi~
01~>M.lbcld:n +
facebook
Fu:ebook te yud1111 cemuntcarte y
co111partirco11 l:1s personas que forman
1mrtetl(ltuvid1'1.
.l. J.
J.
J. J. i..
J. J.
Figura t. Facebook se ha convertido
de usuarios, y se ha vuelto el objetivo de muchfsimos ataques. En algunos de los cuales le provocaron grandes
problemas de seguridad. Para obtener ms informacin acerca de buenas prcticas de seguridad en su uso.
podemos visitar www.facebook.com/safety.
ATOM. XML y JSON. entre otras. En esta "nueva
Web". el usuario es el protagonista principal.
que tiene la capacidad de publicar contenidos.
conectarse con otras personas e interactuar con
toda la infraestructura disponible. que antes se
utilizaba solo para leer informacin
Si bien el concepto de Web 3.0 (principalmente.
la Web semntica) est rondando hace varios
aos. podemos decir que el gran salto de para"
digma fue dado por lo que sera su predecesor.
en el cual encontramos una fuerte cantidad de
nuevos beneficios y peligros.
REDES SOCIALES
Sin lugar a dudas. las redes sociales. como
Facebook. Twltter y GooglePlus. son la nueva
tecnologla en expansin. Su misin: permitir que
cualquier usuario genere contactos con otras
Rgf1lrt
~O(llM<(Vlo"~~)
J.
J. J.
J.
J.
, "
..~.~
,_.,,
..
~.u .,. ,
en la red social ms popular. en 2011 contaba con ms de 600 millones
personas y comparta
aunque tambin
informacin
permiten
rpidamente.
la proliferacin
malware. ataques y estafas.
Para una organizacin. antes era fcil blo
quear los accesos a estos tipos de redes.
que solamente se utilizaban para el ocio. En
la actualidad. existen redes desarrolladas
con nes laborales. Linkedln. que las
como
mismas organizaciones emplean para reclutar
personal o hacer otros contactos de negocios.
Tambin Facebook se est empezado a utilizar
como medio de promocin para las empresas.
Por estos motivos. ya es casi imposible ble-
quear este tipo de accesos. porque la oublic
dad web se encuentra dentro de los planes de
toda organizacinactual. Pero debemos ser
cuidadosos. y permitir el acceso a este Upo de
redes solo a aquellas personas que verdadera
mente lo necesitan.
Otra problemtica que se genera en todas las
organizaciones es que los usuarios pueden
revelar informacin conidencial de la empresa
a travs de estas redes. aun cuando no estn
en la oficina. sino desde sus casas. usando sus
computadoras personales
Por lo tanto. es de vital importancia contar con
un buen plan de capacitacin. que haga en
tender a los usuarios los peligros potenciales a
los que exponen a su organizacin al divulgar
informacin privada.
Las casilfas de correo electrnico de tipo web
como Gmail o Holmaif no son anafizadas por
el antivirus residente a menos que descar-
guemos su contenido desde un cfiente POP3
como Windows Mai/. Sin embargo, estos
servicios siempre cuentan con un antivirus
onfine razonable. Podemos controlar su acti-
vacin en fas opciones del correo web.
de
GOOGLE HACKING
Con este trmino se conocea las tcnicas para
recabar informacin de una organizacin a
travsde los buscadoresde Internet, particu
larrnente. utilizando Google. Esto no es algo que
puede catalogarse como un ataque en s, pero s
puede ser de gran importanciapara determinar
el xito o el fracasode un atacante
''Actualmente,
los buscadoresde
Internetalmacenan
muchsima
informacinacerca
de los sitiosweb
que analizan
Adems. buscadorescomo Google ofrecen va
rias opciones de bsqueda para encontrar tipos
de archivo especficos. buscar solo dentro de un
dominio particular.y muchos otros parmetros.
Para protegernosde las bsquedas de informa
cin sensible en nuestrosservidores web. pode
mos enumerar las siguiente consideraciones:
1. No alojar informacin verdaderamente contl
denclal en los servidores web
2. Prohibir el listado de directorios.
3. Utilizar el archivo estilo comando.txt para
definirqu seccionesde nuestrositio web van
a catalogar los robots de los buscadores.para
ms informacin.recomendamosvisitar: www.
robotstxt.org.
4. Proteger las secciones privadas de nuestro
sitio web mediantecontraseas
Si queremos que nuestro Sitio web detalle qu
partes no deben ser analizadas por los robots de los
buscadores. podernos ubicar el archivo robots.txt
en la raz. con un contenido como el siguiente:
Useragent:
Dlsallow: /admlnistrator/
Dlsallow: /lmages/
Disallow: /lncludes/
Dlsallow: /templates/
Dlsallow: /tmp/
Pero debemos recordar que este upo de conll
guraciones solo funciona si los robots respetan
estos archivos. Los buscadores mas famosos.
como Google, Yahoo! y Bing. sr lo hacen. Como
siempre. uno de los mtodos mas efectivos
para prolegernos. es verificar qu informacin
relacionada con nueslra organizacin aparece
en los buscadores web. Para esto. la forma ms
sencilla es ingresar en el sitio de algunos busca
dores y realizar consultas a parlir del nombre de
nuestra empresa y de otros aspectos relacionados
con ella. como telfonos y direcciones de correo
electrnico. entre otros.
Google
Hackng ...
Penetration Testers
Es de suma importancia que los usus-
rios lomen concienciay entiendan que
todo Jo que se publica en Jos medios de
Internet se vuelve eutomeucememe de
dominio pblico. Ms afl de que hayamos
configurado opciones de privacidad en las
redes sociales,actualmente,en Internet.el
conceptode privacidadno existe.
PHISHING Y ROBO DE
IDENTIDAD
Este concepto no es nuevo. pero ha evoluciona
do a la par de las nuevas tecnologfas. Se trata.
bsicamente. de estafas que se realizan a partir de
generar una falsa identidad. para que el usuario
crea que est ante un ente de su confianza v. asi.
entregue informacin confidencial. como ere
dencales. nmeros de cuentas bancarias. datos
personales. y ms. Si bien podemos encontrar
que existen muchas lecnologlas y tcnicas
FtguraZ.La
popularidad de las
tcnicasde Google
hacking ha llevado a
la publicacin de libros
completos que hablan
sobre el tema.
 --- .
~fdt ~ ....~<11YJlo"""'""''Ji:J:l$
~ .;.,, ,,j~1p.J/"MoW.pt"o.lll:ri.Cr\l<t.ot<l'20llfD4/

. ,,, . '~. ~~ . , . . ~~

"" - . ..- ~
Ph1shTank10.1t111rtll<~11110llcT1

sta1s > April 2011

-..
~" ''""" ""n
1

P~hi11g&it .. lyCounlryof~t>tLA~ril2011

TotalSU:irris""':18,092

Vdkl?tishes14,58fi

il">l(JldPl1$hes:573

Total\lolts:84,893
, ><ftOl ,_,, ot.. lM:b"'
"""''ri
MaimTmeToVeri!yO'lhcus, 19nnJt$

Figural.Segn el sitio web www.phlshtank.com,

en abril de 2011 hubo 14.586 sitios de phishlng detectados, de
los cuales el 50% se encontraba alojado en los Estados Unidos. Con estos datos podemos apreciar fcilmente la
popular/dad de este tipo de ataques.

Involucradas (como el pharming) en los actos de

1 O minutos de capacitacin phishing. todas pasan a travs de la interaccin del

pueden reducir hasta en usuario. para que. de un modo u otro. confe en el

que, en realidad. es un atacante. Como podemos
un 70% los riesgos de que notar. esto no es ms que una estafa electrnica.
Debido a que las estafas pueden utilizar muchos
una persona sea vctima de medios de comunicacin distintos (como correos
phishing electrnicos. redes sociales y mensejena instan
(Fuente: www.wombatsecurity.com) tneal la mejor manera de luchar

Figura 4. El Anti
PhishingWorking
Group es un consorcio
internacional que rene
a varias organizaciones
ocupadas en la lucha
contra el phishing, como
fabricantes de productos
de seguridad. agencias
del gobierno y compaas
de telecomunicaciones
(www.antiphishing.org).

''contra el
phishing, la medida
ms eficiente
contra el phishing
es la capacitacin
de los usuarios,
que necesitan comprender cmo pueden ser
estafados y cun fcil es crear contenidos que
simulen ser de entidades de confianza. con el
fin de robar sus datos.
Con respeclo al robo de identidad. este suele
realizarse una vez completado un ataque de
phishing, aunque tambin existen otras formas
de accedera los datos necesariospara hacerlo.
El objetivo principal aqul es suplantar la identidad
de una persona para realizar compras o pagos
a su nombre. generalmente.utilizandotarjetas
de crdito. Este tipo de ataques es el de ms alto
credmerto en los ltimos anos y representa
un gran riesgo para ladas las personas. No se
~ILA 11 A..Ml
c~_}co mm un ity
encuentra relacionado directamente con la segu
ridad en las organizaciones. sino ms bien con la
seguridad personal. Estos son algunos consejos
para evitar ser victimas del phishing
,, Escribir a mano no hacer clic en los enlaces
las direcciones de sitios web importantes. como
entidades bancarias u otros sitios que nos solici
ten informacin confidencial.
,, Cerrar siempre las sesiones de los sitios web y
las aplicaciones confidenciales.
,, Tener en cuenta que los bancos y otras enti
dades que manejan dinero nunca nos solicitarn
que les enviemos nuestras claves de acceso ni
ningn otro tipo de dato confidencial.
,, Jams utilizar mquinas de acceso pblico.
como las de cibercafs. para enviar o recibir
informacin contoerca.
Estos consejos. entre otros. son los que debemos
comunicar a los integrantes de nuestra organi
zacin para que estn al tanto acerca de cmo
evitar ser vctimas de este tipo de ataques.
SERVICIOS DE MENSAJERA
Podemos definir los servicios de mensajera
como servicios que permiten Intercambiar
mensajes entre usuarios. lo cual es bastante
Figura5. En el sirio
web de Identidad
Robada podemos
encontrarmucha
informacin acerca de
los robos de identidad,
cmo prevenir/osy
qu hacersi pensamos
que somos victima
deuno(www.
ldentldadrobada.comJ.
 __... ._,., ,............,.....
Figura 6. El proyecto
ASCII Ribbon es una
campaa que busca ,.. .,
generar conciencia
acerca de las ventajas The ASCII Ribbon Campaign
de utilizar el correo ,..,o1, .. t.~NTM(.o-...il.,,d0<00<;oto<yottod-I
electrnico en modo
texto plano, que
........
., ..,..
"""""'"'.. '""'J"'"'<r"'"""'rnoim....,._,._.. ..,..,.,_'"""'""';,..,,,.,....,d..,,,,..,,.,.,...,.,,,,.,.~..,....,.o<..,_._
,.- ~
ho""-'""-'"'"'l'''""""l'l"'>HTMl<-Ul"'~"t'"')<->-OH-.'"'"'~',-'""""'Nl'I"'""'"'"'"""''""' ..,,...,.,.,

reduce tos riesgos

de seguridad (www.
ascilribbon.org). '""'"""'''"''"'''...... ~
... ~ ........... ~
......_,., ....,.......,,..,_,,......,._,_ .....__,,..,_~,.......
J<t"' __
hM.W..H_.,,

...... ...,_,_ ............ ... -- ....~

. ....,..,.,.,,.,l,_k,.-0 .. ~.._..~.-''"""'-""'''..., __ ..,~.,_,,._,,....,,._.,,_..,ft.,J,._,..,.,.-..,,
~ ...... ,, ....,.- ........... ..... ,u.,

genrico. por no decir sper genrico. Este

tipo de servicios se ha vuelto muy popular
en Internet. porque es. bsicamente. la gran
herramienta de comunicacin entre usuarios.
A medida que estos servicios fueron evouclo
nando. se los ha dotado de ms caracterlstlcas
que potencian la cantidad de contenidos que
se pueden transmitir. Recordemos que. en un
principio. solamente existan mensajes en texto
plano. a travs del correo electrnico o el IRC.
En la actualidad. contamos con varias nena
mientas de mensajera. de las cuales haremos
un anlisis de seguridad.
MENSAJERA INSTANTNEA
Los servicios de mensajera instantnea son unos
de los ms utilizados por los internautas. tanto en
sus hogares como en las oficinas. Estos han pasado
de ser un simple IRC (chat simple). a convertirse
en herramientas y protocolos ms avanzados.
corno ICQ MSN Messenger. entre otros. Con
esta evolucin y ha surgido una gran cantidad de
problemas de seguridad. que debemos tener en
cuenta. Si a esto le sumamos que. actualmente. mu
enes Sitios web cuentan con mensajera en lnea.
corno el mensajero de Facebook. podernos coser

...,....,....,.~-"-'
Meeboforyou
,"'"_,,,"''"'"' ... ..,4,,_r
Figura7.Meebo es uno de los sitios web que permiten, desde un nico lugar, realizar conexiones con distintos
servicios de mensajerla. El nacimiento de estas aplicaciones web complica en gran medida el filtrado de losservicios de
mensajeria instantnea.
var que las posibilidades que tiene un usuario para
intercambiar mensajes con otro son prcticamente
ilimitadas. por lo que se vuelve una tarea muy corn
pleia y hasta agotadora. intentar bloquear todos
estos protocclos y herramientas. Si necesitamos
hacerlo. podemos simplificar el trabajo a travs de
algunos dispositivos UTM, como los desarrollados
por Fortinet. Watchguard o Checkpoint. entre
otros. que cuentan con grandes capacidades de
filtrado por protocolo y aplicacin
TRANSFERENCIA DE
ARCHIVOS
Uno de los grandes cambios de los servicios de
mensajera ha sido la capacidad para enviar y
recibir archivos. Esto ha dotado a los usuarios de
una tremenda facilidad para lransferir contenidos
de manera instantnea. pero tambin es una
gran posibilidad para los atacantes de mandar
todo tipo de malware. Es por eso que mueras ve
ces se critica el uso de los servicios de mensajera
por los riesgos de seguridad Implicados. El
problema es que. de una forma u otra. la trans
ferencia de archivos debe ser permitida en una
organizacin. Y siempre es mejor que lo haga
mos de manera transparente y amigable para el
usuario. en vez de forzarlo a buscar mtodos no
SyalmDuh.bord
""""""....,,,,_,,,,~.
autorizados para trenstenr archivos. que podran
poner en peligro a nuestra empresa. Algunas
de las opciones de cdigo abierto que tenemos
para bloquear la mensajera instantnea son el
firewall gratuito Untangle (www.untangle.com).
o la combinacin de algunos productos. como el
proxySquid (www.squldcache.org) y alguna
otra herramienta de filtrado de paquetes. como
IPTables para sistemas Linux
Los mismos dispositivos de firewall nombrados
en el apartado anterior tienen la capacidad de
realizar anlisis antlmawere. bloqueo de traosre
rencias por tipo de archivo y algunos otros filtros
que pueden sernos de utilidad. En caso de que
no podamos contar con estos dispositivos. pode
mas utilizar alguna de las soluciones de cdigo
abierto nombradas en el Capltulo 4
Si bloqueamos todos los
caminos a un usuario, este
tratar de encontrar otros
alternativos, e inseguros.
Pero si le marcamos un
camino correcto, va a
seguirlo sin problemas
Figura8. Algunos
fabricantes.
como Symantec.
ofrecen productos
especializadospara
el control de los
servicios de mensajerla
instantnea. En la
imagen, svmantecIM
Manager.
 Figura 9. Varios
fabricantes de software
de seguridad, como
TrendMlcro, ofrecen
productos para evitar
la fuga de informacin
y la prdida de datos
(www.trendmlcro.com).

FUGA DE INFORMACIN usuarios deben estar al tanto de qu informacin

pueden compartir abiertamente y cul deben man
Una de las grandes preocupaciones actuales de tener privada. Por lo tanto. podemos observar que
las organizaciones con respecto a la seguridad
es la fuga de Informacin confidencial. Esta
situacin se ve agravada por la gran cantidad de
medios de comunicacin con los que contamos
' ' la primera
medida para luchar
al tener una conexin a Internet.
Es por eso que la fuga de informacin debe
encararse desde varios frentes para poder corn
batirla adecuadamente. No estamos hablando de contra la fuga de
informacin es la
un dispositivo. protocolo o herramienta en paru
curar, sino que debemos proteger una infinidad

capacitacin
de mtodos para transferir informacin
Es por eso que. por sobre todas las cosas. ros

Figura 10. El proyecto

de cdigo abierto
MyDLP desarrolla un
software destinado a
la proteccin contra
" ~..... .
~ '""""'"''"MO

w
-
::::::::::::::::::::: .; :~:~;'.'.'.::::~::.::::~,:_::""'"''

-
'
,, :~::;;:,.:,::,:;-;.;~:.:::.:::::::
,, i
la fuga y la prdida de
t!'l""""''"".""" .,,., ~,. "'''
datos. En la imagen
..........,. ,,.,,, ,,"';'
podemos observar su
uso para filtrar ciertos
tipos de datos, como
nmeros de tarjetas
de crdito
e (www.mydip.org).
 Figura 11. El proyecto
de cdigo abierto
Spamassassln es
ThcAp11chcSp11mAHIHlnProJcct
el ms reconocido
filtro antispam. Es
wi.w...illiilJ desarrollado por la
fundacin Apache y
Th11111""''"'""""""'""""".'""'
W'lfllM!etw1
........"''"-,,....'"""'''""'"''""""'"'"
1'&!KCWh001tcr1tmm-c"
ooyi)G
cuenta con una gran
capacidad de filtrado,
adems de tener una
"'"Orb_.,.,..,,...,,.J>M<o.. or.-.m.to<M~"''''""",..''''"''""'"'""""'""
V'tlt~IOP!<>.t..,.os-<Jk<""''""" amplla documentacin.

Wl<JoJltCOU'l\~ ....... ,, .." "'~1<11,..,.tO'l>'"l""'"''"""' .. "',,_.'1-tl""''" ... INO

'"""""l'''''"'''_..._,<O ~f'""..""""''"'""'""""'llt>olo-lO~"l""'.;I
-~---- ... ~-
........... ,w-.tl1<.1"1>.0"'1'"""""'"'...,.' ... of>illll00'1""""'"'_"_....., .. ,ol\.,"

COMUNICACIONES NO En una organizacin. el bloqueo de spam es

estrictamente necesario. porque este alcanza
DESEADAS (SPAM) niveles tan altos. que reduce de manera notable

Los mensajes no deseados (spam) han dejado

de pertenecer solamente a los servicios de
correo electrnico. y ahora forman parte de cual En el sitio web Wlklpedia (http;//
quier servicio de mensajera. aunque el correo se en.wlklpedla.org/wlkl/Antl-spam_tech
lleva la mayor parte de este tipa de transferencia. nlques) podemos encontrar un excelente
srkuto que detalla varias de las lcnicas
an/ispam ms efectivas. tanto para los eses-
Porcentaje de spam sobre el rios finales como para los admlnislradores
total de correos electrnicos de servicios de correo electrnico. Esta en-

procesados: 88,55% ciclopedia llbre es un recurso de gran valor

para todas nuestras tareas de investigacin.
(Fuente: lntormeanuallNTECO2010)

BPAIVIHAUB

Figura 12. El sitio

---
Warkinglo web Spamhaus
...!'~'"" mantiene varias listas
0:.-'""''' nlwork~
negras con dominios
--..... orld1111tlo
~ y direcciones IP que
son frecuentemente

.
_ .....
.,~...
-"-' ~~ utilizados para enviar
spam Es un excelente
f.iilJAd>rlsor1rl''~" .."''"'"c"'" ''"'"''""'"! recurso para ayudarnos

cm-.~sooyl .::::,.~. .........," . '"'" en la lucha contra el

correo no deseado.
las capacidadesde trabajo de ros empleados parte de terceros. que obligan a la organizacin
porque si los obligamos a recibir enormes can a pagar por comunicaciones que no realiz
tidades de spam. se pierde mucho tiempo en Es por es que. en caso de implementar VolP en
catalogar a mano qu es spam y qu no lo es nuestra organizacin. debemos tomar los recau
dos necesarios. y analizar tanto los protocolos

VOIP que vamos a utilizar. como las herramientas y

productos por implementar.
Los servicios de voz sobre IP (VolP) se han Algunos consejos de seguridad para los servicios
vuelto extremadamentepopulares. al ofrecer VolP son: encriptar las comunicaciones. revisar
mejores caractersticas y menor costo que la seguridad de los protocolos TCP/IP que dan
la actual telefonia tradicional. Es por eso que soporte a estos servicios y monitorear el uso de
su uso crece ao a ao y las organizaciones las centrales de telefona IP.
implementan este tipo de soluciones para Actualmente. la combinacin de los protocolos ms
reemplazar las viejas tecnologas y unificar utilizada en los ambientes VolP sonSIP (Session
sus redes de comunicacin. fnitiation Protocof) para el inicio y la terminacin
Como toda tecnologa. los protocolos relaciona de llamadas. y RTP (Real/ime Transport ProtocoD
dos con VolP presentanciertas falencias de se para el transporte del audio). Es muy aconsejable
guridad. sobre todo. si estn mal configurados emplear alguna variante encriptada de ellos. como
Esto podra permitir tanto la escucha de conver SRTP. que. bsicamente. es lo mismo que RTP pero
saciones como la realizacin de llamadas por con encrlptacinde trfico.

&e ECM. 'b<W ,...~OIY Booi(Motlc' Jliol't ~

':Mpll'wWW"!P"'!tlOrq/

=
VOIPQvt>t<:
-= . . .,

SI
r/J

Wollcomto lo 11"' VOIP Wlkl a hrf11t,.nc guldl lo all thlng VOIP

,.... ""'_ ,_ "'1 , ,h ., ..,,..,<l'd_,,,

~ iund >dll1d. l'Wl9 ..
,...,.,.,ro,...........o,IPt.W<di0"1..,d!nt.,nMltlfJlf\Otl1.110-vN,l"Wl"1kPriurillrln!o""olloo,01fO""l1I""

~ ..
~
' .... ....,.l!h

~
. ......_.. ,;i
i..Hl(<t>J>

,:~.ill!
I~~

_,, - ~- ~-:>:
Figura13. En el sitio web vorprntc(www.volpinfo.org)
podemos encontrar una gran cantidad de informacin
acerca de productos, protocolos y herramientas relacionadas con Ja tecnologa VolP, as como tambin varias
recomendaciones de seguridad.
ESPIONAJE DE
COMUNICACIONES
Los medios fsicos que transportan lasco
municaciones tradicionales suelen ser. por
naturaleza. muy difciles de interceptar para
capturar la informacin que viaja a travs de
ellos. debido a que esto suele producir cortes
u otras anomalas en la comunicacin. que
son rpidamente detectables. Adems. se
requiere acceso fsico a alqn punto del medio
de transporte para efectuar alguna captura
Sin embargo. en el caso de las comunicaciones
IP. se vuelve much'slmo ms fcil capturar infor
macin de manera remota. y es posible hacerlo
sin que esto produzca un impacto negativo o
extrao en la comunicacin.
Existen varios programas desarrollados exclu
sivamente para capturar paquetes con audio.
para luego ensamblarlos y obtener una copia
exacta de toda la comunicacin realizada. Es
por eso que resulta de suma importancia la
~3AudioCodes
~"'
Figura 14. El nClte 4000, de Audiocodes, es un equipo que, entre otras cosas, provee seguridad para las
comunicaciones VolP, con capacidades de enatotsan. proteccin
y muchas otras funciones.
encrtptacion del trfico que contenga comunl
caciones crticas o privadas. Para esto. pode
mas utilizar protocolos como SRTP (explicado
ms arriba). IPSec o algn otro tipo de enlaces
del tipo VPN
VIDEOCONFERENCIAS
Con la capacidad de transportar datos de audio
sobre redes IPpara realizar llamadas telent
cas. el salto a las videoconferencias (llamadas
con video incluido) prcticamente fue sencillo.
porque solo se incluye un nuevo tipo de datos
utilizando la misma arquitectura VolP. La gran
diferencia que presenta con VolP es que este tipo
de llamadas no puede ser transmitida a travs
de la red de telefonfa tradicional (porque esta no
cuenta con soporte de video).
Sin entrar en ms detalles. podemos decir que
todas las medidas de seguridad requeridas para
VolP se aplican a las llamadas de vceocorre
rencia. y que debemos encrotar y asegurar los
dalos que transmitimos.
contra ataques DoS. validacin de protocolos

RobertoGutlrrezGil Ingeniero en
Telecomunicacionesde la Universidadde
Valencia.ha escrito un excelente docu-
mento que repasa las tecno/ogfas implica
das en una arquitectura de VofP. hace un
anlisisde lasposibles vulnerabilidadesde
seguridad y evala algunos de fas ataques
ms comunes. Podemos consultarlo en el
www.portantler.com.
VIRTUALIZACIN
El uso de este tipo de tecnologas ha crecido
enormemente en los ltimos aros. a tal punto
que podemos afirmar que la mayora de las orga
nlzaclones las implementa de uno u otro modo
La reduccin de costos y las mejoras en los pro
ceses de gestin que nos brinda ta virtuallzacin
son evidentes. y hacen que cualquier empresa
cuente con este tipo de proyectos dentro de sus
planes. Nosotros debemos estar preparados
para responder a las cuestiones de seguridad
relacionadas con estas tecnologas.
(1ii1!1d1p~,.,.,.
vmware
Figura 15. VMWare es
el lideren soluciones
de virtualizacin.
Cuenta con una gran
cantidad de productos,
y varios de ellos. con
funciones de seguridad
avanzadas (www.
vmware.com).
En la actualidad. existen varios fabricantes de
plataformas de virtualizacln. cada uno con
sus ventajas y desventajas. La decisin de utili
zar una u otra tecnologa debe tomarse sobre
la base de las necesidades de cada organiza
cien. Tambin debemos considerar hacer una
inversin en herramientas que nos faciliten
la gestin de la infraestructura: copias de
respaldo. recuperacin en caliente. balanceo
de cargas. etctera. A continuacin. definimos
algunos de los puntos mas importantes para
tener en cuenta con respecto a la seguridad
de Infraestructuras virtuales.
ASEGURAR CORRECTAMENTELOS
EQUIPOS DE HOST
Los equipos que contienen las mquinas
virtuales deben estar adecuadamente asegura
dos. debido a que una falla podracomprometer
la confidencialidad. integridad o disponibilidad
de todas las maquinas virtuales alojadas en ellos.
Tambin debemos recordar que los equpos rost
cuentan con un sistema operativo que puede ser
atacado. por lo que debernos verificar con detenl
miento la documentacin del fabricante. a fin de
configurar toda la solucin como corresponde
.,.,..,,.
ASEGURAR LOS MEDIOS DE
ALMACENAMIENTO
En las soluciones de virtualizacin medianas
o grandes se recomienda utilizar dispositivos
de almacenamiento dedicados conocidos
como storage- para aumentar la capacidad.
la velocidad de lectura/escritura y las postbl
lidades para gestionar la Inlormacin
Si implementamos este tipo de soluciones.
debemos considerar a nuestros equipos de
storage como criticas. porque podran expo
nernos a una destruccin de los datos o a la
fuga de informacin
''En los
ambientes virtuales,
cada mquina
virtual est formada
por algunos pocos
archivos
Si estos se ven comprometidos.un atacante
coore llevarse una copia completa del sistema o
destruir nuestrossistemas productivos.
ASEGURARCADA UNA DE LAS
MAQUINAS VIRTUALES
Cada mquina virtual debe ser asegurada tal
y como se to hara en caso de que fuera una
mquina fsica. Es importante tener esto en
cuenta. porque la facilidad de crear. copiar y
eliminar mquinas virtuales muchas veces
genera una falsa sensacin de sencillez. que
lleva a algunos administradores a olvidar los
procesos de seguridad.
UTILIZAR ADECUADAMENTE LAS !O,..
PLANTILLAS DE o
MAQUINAS VIRTUALES ~::;
Para simplificar las tareas expuestas en el
~
punto anterior, es una buena prctica de se !<
guridad definir una plantilla de sistema que ya >
cuente con todas las configuraciones necesa
nas. para as poder crear fcil y rpidamente
otros sistemas a partir de ella
Realmente es de suma importancia que esta
plantilla est configurada cmo corresponde.
dado que un error en ella provocara fallas en
todos los servidores creados
CONTROLAR ADECUADAMENTE LA
GESTIN DE LA INFRAESTRUCTURA
VIRTUAL
La facilidad de administracin que presentan
las infraestructuras virtuales muchas veces
hace que cualquier persona del sector de IT
cree. modifique o elimine mquinas virtuales.
Esto es un gran riesgo no solo para la secun
dad. sino tambin para el rendimiento de las
mquinas virtuales. Debemos recordar que.
en ambientesde produccin. la creacin o
modificacin de las configuraciones podra
llevar a un consumo excesivo de recursos de
hardware o a fallas inesperadas si se modifica
el hardware virtual sin tener en cuenta las
configuraciones necesarias para el sistema
operativo que corre sobre l
IMPLEMENTAR FILTROSFISICOS EN
LAS ZONAS DE ALTA CRITICIDAD
Aun cuando los fabricantes de soluciones de
virtualtzacin prometen que sus productos
brindan igual o mayor seguridad que las sepa
raciones fsicas. debemos considerar separar
los equipos que contienen mquinas virtuales 8
de prueba. de los que contienen mquinas
virtuales crticas para la operatoria de nuestra
organizacin. Recordemos que los ambientes
de pruebas suelen ser ms propensos a errores
*
[11;1votu,,.,.c;,nMcNeeSo>J,.l+

~McAfee ................ 1 ..... u. 1 .........

-...._ -
virtualtzation
...'""''""'-...-.<'"'"'~ .. ..,,.........,..
~~
~
..

-_
........_ . .,..., ,.. ~.., ~,.. ....".

,_
,
_. .. .
. ..
..., - o>.. -,, .,. _
............. .--
,_ . "~""""'"""'"'~"
....,,,~..,.,..,,.,,.w,-.

Figura 16. El fabricante de productos de seguridad

McAfee cuenta con varias soluciones desarrolladas
SEPARAR UNA RED PARA
para aumentar la seguridad en entornos vlrtuallzados ADMINISTRACIN, DE LA
(www.mcafee.com). INFRAESTRUCTURAVIRTUAL
Las telecomunicaciones que corresponden
o malas configuraciones. de modo que no debe a la administracin. tanto de los sistemas
mos permitir que estas fallas dejen expuesta la host como de las mquinas virtuales que
infraestructurade produccin. contienen. deben estar separadas del resto
En caso de que no sea posible realizar se del trfico de la red. a Iln de garantizar que
paraciones fsicas. deberemos asegurarnos siempre podremos administrar de manera
de aprovechar todas las caractersticas de adecuada la infraestructura. Recordemos que
seguridad con las que cuente la solucin que una red plana. sin segmentar. podra colapsar
estamos implementando. si cualquiera de sus componentes sufriera
fallas de algn tipo. Es por eso que debemos
LOS SISTEMAS HOST SON TAN prevenir el hecho de quedarnos sin la capa
CRITICOS COMO LA MAQUINA cidad de gestionar la infraestructura. Esto
VIRTUAL QUE CORRE SOBRE ELLOS puede lograrse implementando separaciones
Es preciso recordar esto al configurar los tanto fsicas. (hardware distinto). como lgicas,
sistemas nost. Si es que vamos a alojardentro (distintas redes virtuales. o VLANs)
de ellos mquinas virtuales que tengan una
alta criticidad para la organizacin. debemos GARANTIZAR LA CONECTIVIDAD
catalogar estos sistemas host con la misma DE LA INFRAESTRUCTURACON LAS
criticidad que las mquinas virtuales que con DEMASREDES
ttenen. Como analizamos anteriormente. una Muchas veces se hace hincapi en garantizar
falla en los sistemas host podra comprometer la disponibilidad de las mquinas virtuales. irn
las mquinas virtuales que alberga. plementando redundancia. tanto de software
como de hardware. Y esto est muy bien. pero
tambin debemos considerar el caso de que
el hardware de telecomunicaciones presente
fallas. La prdida de conectividad entre la in
fraestructura virtual y el resto de la red podra
significar una prdida total de disponibilidad
de los servicios. Es por eso que precisamos
garantizar el funcionamiento de la red. de ser
posible. utilizando hardware redundante
IMPLEMENTAR SEPARACIN DE
TAREAS PARA LA GESTIN DE LA
INFRAESTRUCTURA
Es ampliamente recomendable que por lo me
nos dos personas estn encargadas de gestio
nar la infraestructura virtual. utilizando lo que
se conoce como separacin de roles. para
que ninguna desarrolle completamente las
tareas de gestin. Esto disminuye de manera
notable la probabilidad de errores. al requerir
que al menos dos personas estn de acuerdo
con los cambios que habr que realizar
CONTAR CON REDUNDANCIA DE
EQUIPOS
Como la falla de un sistema host implica la falla
de todas las mquinas virtuales que corren sobre
El Natlonal lnstltue of Standardsand
Techno/ogy(NfST)re publicadouna
excelente gua de seguridad (quepodemos
encontrar en http://csrc.nlst.gov/publlca-
tlonslnlstpubs/800125/SP800125flnal.
pdf). enfocada. exaustvememe.en enlomas
virtuaHzados.El documentofue lanzado a
principios del ao 2011. y lambin conside
raen/ornasde cloud computlng.
l. es ampliamente recomendable que imple
mentemos redundancia de hardware o souoo-
nes de virtualizacinque nos permitan contar
con varios sistemas host distintos. que tengan la
capacidad de suplantarse entre sr en caso de que
alguno de ellos presente un problema.
CLOUD COMPUTING
Otra de las tecnologlas emergentes. que naci de
la mano de la vlrtualtzacln. es la computacin
en la nube o cloud comoutinq. que nos permite
brindar y ulilfzar servicios alojados en Internet.
Si bien esto permite tener una gran reduccin

VMinformer targets your key vutuoltzotton rssues

ldentifv your pcrnpotnts
ropldlv and ecsuv .....
'
(( Figura 17. Existen

Download a troal todoy / j varios fabricantes.

como VMlnformer,
que se dedican pura
y exclusivamente
a desarrollar
Wh\1"1ul"lollonSKWll\f? soluciones de
v-~11..,.,.....,..,.,.,"11"'
cor~ot .. n ' """'"''
,.....,.,,.,.,,.....,., v....,""""'"-""'~n
:::-"-'""'"--i ~:::~:~.::..~.:~~:~~!!:,~:' seguridad y auditoria
paraambientes
vtrtusaeaos.
de costos y nuevas capacidades para brindar
servicios. tambin es muy cuestionado desde
el punto de vista de la seguridad. debido a que
los equipos en los que las empresas alojan su
informacin no pertenecen a ellas mismas. sino
al proveedor del servicio. Por lo tanto. la prdida
de control sobre los datos genera un alto grado
de incertidumbre. que pone en duda la viabili
dad de implementar este tipo de sistemas para
aquellas organizaciones que se preocupan por
la seguridad. A continuacin. veremos algunos
de los aspectos que debemos tener en cuenta
cuando utilizamos este tipo de servicios.
UTILIZAR ENCRIPTACINDE DISCOS
Si la informacin almacenada en los discos
rgidos no se encuentra encrlptada. cualquier
persona con acceso a ellos sobre todo. en
el caso de los discos virtuales podria llegar a
realizar fcilmente una copia de tOdos los datos
que contienen. Al utilizar encrptacin hacemos
que solamente el sistema operativo con las
herramientas y claves adecuadas pueda leer la
informacin. con lo cual reducimos el riesgo de
una posible Fuga de datos.
ASEGURARNOSDE TENER COPIAS
DE RESPALDODE LOS DATOS
Debemos corroborar que existan copias de
seguridad de nuestros datos. y que estas Iun-
cionen correctamente. Ya sea que las hagamos
nosotros. o el mismo proveedor del servicio, es
necesario verificar que las copias existen y pue
den ser recuperadas sin problemas.
Un malentendido puede llevar a pensar que el
proveedor realiza las copias de seguridad. cuando
en realidad no es as. y esto puede producir prcn-
das de datos crflicos para las organizaciones.

Figura19. La plataforma EC2.de Amazon. fue

una de las primeras ofertas de servicios del tipo
cloud computlng. Cuenta con una gran cantidad de
caracterfstlcas y una probada estabilidad
amazon.com/ec2).
CONTRATARSOLO A PROVEEDORES
DE CONFIANZA
<http:f!aws. Si vamos a utilizar este Upo de servicios para
procesar informacin crtica. debemos contratar

.:J e 8 htlp;//3w1.dm~ron.com'ec21

Amazon etasuc Compute Cloud (Amazori EC2)

A'""""~lot><omtoC'"''(Amon~C21;wb'"'"""'""'
"''"""''"'obloomputt-"''"dov<lltOd>Onodtomi.:
""'''"'""'"'"'
~o11.. e.1oco""'"''" ..
.., .....,,~, .. ,,, , . .
..,,,,,.,,.1c~,,.,,p10"'<1>''"''-"'4llowoyoutoobt""d
"'"''"'"",,_,,,.hm....,.11,-n.1t .... >0n1ou,..hcompl't\9

~:~~c:~;;:~~~;~=~.~.~=~:: :~79::::'
<0trolof""'"'"'"''"'""""'ndltUJOU...,Onl>ln,n'

._'""'""''"""~A'"""EC2Ch-lheoconom,..Ol"mouonci
b1lowin,outom"'"'''""P"""'t"'''ou...t.>l'ruH.Amo:on
c>oroiddtht<>bu1l~!U.ro1i..,.oool""""'
""'i<Obttl.. M<<'1<0frOm~raueenn ..
nicamente a proveedores de confianza. y pres
tar mucha atencin a los acuerdos de nivel de
servicio y a tas pollcas de seguridad y privaci
dad que ellos utilizan. para conocer si nuestros
datos estarn verdaderamente protegidos.
LA PRIVACIDAD DE LOS DATOS
En caso de que nos encontremos analizando si
contratar o no servicios de computacin en la
nube. debemos considerar el tipo de datos que
vamos a alojar y qu nivel de responsabilidad
tenernos sobre ellos
Por ejemplo, si contratamos un software que nos
permite alojar toda la informacin de nuestros
clientes. para realizar campaas de marketing.
seguimiento de ventas y otras tareas. debemos
tener en cuenta qu clase de datos estaremos
guardando en esta plataforma. y si las polticas
de seguridad y privacidad del proveedor se aoe
cuan a nuestras necesidades. Adems. depen
diendo del tipo de datos con los que trabajemos.
podra llegar a ser ilegal guardarlos en los equl
pos de otra empresa sin notificrselo a nuestro
cliente. En los casos de datos personales. como
creencias religiosas e historiales mdicos. que
estn protegidos fuertemente por la ley. debe
mos ananzer cuidadosamente la viabilidad legal
de este tipo de servicios. Por lo tanto. antes estas
situaciones. ser recomendable contratar a un
abogado especializado en estas cuestiones para
que pueda brindarnos una correcta asistencia y
nos evite caer en problemas legales.
DIFERENCIAS CON OTROS
SERVICIOS
Cabe destacar que. si bien los servicios de
cloud computing pueden parecer inseguros o
inapropiados para cierto tipo de tareas (y no es
que no lo sean). hace anos que contamos con la
posibilidad de contratar otros servicios de ssni
lares caractersticas. que tambin cooran poner
en riesgo la privacidad de nuestros datos. El
ejemplo ms claro y evidente son los servicios de
alojamiento o hosnm. en los cuales una empresa
guarda sus datos en los servidores del proveedor.
sin tener prcticamente ningn control de lo que
se hace con ellos. El peligro que puede observar
se en estos casos es que el alojamiento de datos
suele ser compartido con varios clientes. Si bien
ellos no deberan poder acceder a la informacin

..,.
~!.'?.~"' Figura 19. En el
~:~;::::O::'t't~:::.~~~~:~." sitio web dela
Asociacin Espaola
para el Fomento de
la Seguridad dela
CSA Informacin podemos

~
.. o. .........
"""'
~<....~ _("""' ..
,,
""'"~'''''"" , ,
,., ,,,,
, t

::.~:.~.:: .'':,:"!.!::!',:::.::.:.:~::'::.'::..':: :nisa

.. ~
encontrar, entre
otros, un Interesante

r~~::.~~::::::::=;~~~~::.
'
documento llamado
Gula para la Seguridad
11 ., ..
en reas crticas de
atencin en Cloud
~ (www.
iiiiiB
Computlng
ismforum.esJ
de otro. una mala configuracin de seguridad
podra permitir el robo o la prdida de datos
Aunque los servicios de alojamiento suelen utili
zarse para almacenar informacin pblica. como
los sitios web. tambin suelen usarse para guardar
todos los correos electrnicos de una organiza
con por lo que se estara dando acceso a todos
los mensajes al proveedor del servicio. Debemos
tener en cuenta este tipo de factores no solo para
la computacin en la nube. sino tambin para
cualquier servicio que requiera alojar informacin
en equipos ajenos a nuestra organizacin. Por otra
parte. servicios como el houslng nos permiten
llevar equipos de nuestra propiedad y conectarlos
a la infraestructura de red de un proveedor. a fin
de utilizar los recursos elctricos. de espacio y de
telecomunicaciones que este ofrece. pero sin que
el proveedor tenga acceso directo a ellos. En estos
casos. tambin es ampliamente recomendable
utilizar encroracon de discos y contratar solo a
proveedores de confianza
TECNOLOGA MVIL
Las tecnologfas mviles permiten aumentar
enormemente la productividad de los empleados
de una organizacin, al darles la posibilidad de
trabajar desde cualquier lugar fsico. conectando
se a travs de distintas redes de datos. Obvia
mente. esto trae aparejadas varias consoeraoo
nes de seguridad que debemos tener en mente
si necesitamos ofrecer este tipo de conexiones.
En los siguientes apartados analizaremos diver
sos factores para tener en cuenta
DISPOSITIVOS PORTTILES
Los dispositivos porttiles. como smartphones.
notebooks. tablets y otros. permiten a los usua
ros transportar sus equipos de trabajo de ma
nera sencilla. lo que les da la posibilidad de llevar
sus herramientas laborales a cualquier sitio.
Cada uno de estos dispositivos suele contar
con varias opciones de conectividad (como 3G
Bluetooth. y otras>. que permiten a los usuarios co
nectarse a dlstlntas redes y navegar por Internet
Esto genera la posibilidad
de que un dispositivo
de nuestra red se haya
conectado previamente
a otras redes no seguras,
y que podran haberlo
infectado con malware

IBMSmartC!oud
r
"~- ~.:. .,,.e:::.... .=. ~ ::~;
Figura21. Las grandes

--
.. .. ~ ._~""
.,.., ,...,,..,. _ _.,.,......, .. ,._, ..,_u....,,
empresasdelmercado, Cloud compung: . ,,.. ,..._
..,.,.,_,,_,._ "
como IBM, cada vez
RethinkIT. ....~.........., .....,.,""_.,...,,_
ofrecen ms servicios
relacionados con la
Relnvent business.
.. .. ,...... ,.... .... .... .,..,,.,.,..,.
..,.~"""',.."""""""""""""""'"n""'"
._, ,_,,.,...,,., ~,

computacin en la nube
(www.lbm.com/cloud
computing/us/en).
En este aspecto. es de suma importancia cuidar
la configuracin de estos dispositivos. para evitar
que los usuarios modifiquen ciertos parrne-
tros que podran poner en riesgo el sistema.
evitar que puedan eliminar o deshabilitar los
programas antimalware. etc. Para estos casos se
vuelven muy tiles las tecnologas como NAC
(analizada en el Capitulo S). que nos permiten
realizar comprobaciones de los dispositivos
antes de permitirles interactuar con los dems
componentes de una red. A conunuadn
podemos ver una lista de consejos bsicos para
asegurar este tipo de dispositivos:
con mucho cuidado. para evitar cualquier
posible brecha de seguridad. Algunas de las
recomendaciones ms habituales en estos
casos son las siguientes:
Utilizar tecnologlas de acceso VPN: esto
permite que la informacin intercambiada entre
el dispositivo remoto y los equipos que estn
dentro de la organizacin sea transportada de
manera encriprada. As. nos aseguraremos de
que permitimos solo conexiones autorizadas. ya
sea a travs de usuario y contrasea. certificados
digitales o autenucecn rnultltactor.

Proteger el acceso al dispositivo mediante
contrasea o huella digital
Ullzar solamente aplicaciones certificadas por
el fabricante del equipo.
Emplear a!gn software anlimalware.
No guardar datos confidenciales en estos
dispositivos porttiles
Limitar los recursos accesibles desde Internet
debido a que no es necesario que !os empleados
accedan a tocos nuestros recursos a travs de ln
lernet. debemos asegurarnos de permitir el acceso
solo a aquellos que sean estrictamente necesarios
para realizar tareas laborales puntuales. Tenemos la
posibilidad de hacer esto separando una red dedi
cada a estos servicios (similar a una DMZ).

En 2010 se detect un 43%

ms de vulnerabilidades
en dispositivos mviles con
respecto a 2009
(Fuen!e:Syma11tecln!ernetSecurityTl1rea1ReportTrends)

TELETRABAJO
El trabajo remolo. o teletrebalo. forma parte
de la poltica de muchas organizaciones. Se
trata. bsicamente. de permitir a los emplea
dos el acceso a los recursos internos de la
organizacin desde Internet. a fin de llevar a
cabo sus tareas a distancia.
Esta es una opcin que debemos planificar

Figura ZI. Los productos de la empresa BlackBerry

son algunosde los dispositivosmvilesmsutilizados
en las empresas actualmente.
Durante el ao 201 O, ms
del 62% de las empresas
sufri la prdida de por lo
menos un dispositivo mvil
(Fuente: Symantec201 O SMB ntormaton Protection Survey)
Mantener las conexiones en el mfnimo
posible: debemos mantener la cantidad
de equipos y usuarios que pueden realizar
conexiones a nuestra red desde Internet en el
nmero ms bajo posible.
ATAQUES DIRIGIDOS
En la mayora de los casos. los ataques a las
organizacionessuelen estar hechos por per
sanas que buscan servicios pblicos mal con
figurados o que estn probando alguna nueva
Figura22 La gran ofertade computadoras
porttiles y la velocidad de los enlaces a Internet han
fomentadola Implementacindel teletrabajo como
prctica comn en varias empresas.
herramienta de seguridad. Ya sea que se trate
de profesionales con amplios conocimientos
o de personas que solo estn motivadas por
un momento de curiosidad. los ataques suelen
hacerse a cualquier sistema que cuente con
alguna vulnerabilidad conocida.
Esto hace necesario efectuar varias pruebas
sobre un sistema (generalmente. con herra
mientas automatizadas). de modo que si este
no presenta Falencias. se proceda a buscar
otro distinto para atacar.
Pero existe otro tipo de ataques. en los que se
define un objetivo nlco y se lo intenta atacar
constantemente. de una manera u otra. me
orante distintas tcnicas y herramientas.
Estos ataques en general estn dirigidos a
entidades financieras o a organizaciones
reconocidas. con el objetivo de crear pnico o
como un modo de protesta
La gran diferencia que presentan los ataques diri
gidos es que. como ororesorees de la seguridad
debemos enfrentarnos con la perseverancia de
los atacantes y, a veces. con una gran cantidad
de ellos. lo que hace que la accin resulte mucho
ms peligrosa y dalna
DENEGACIN DE SERVICIO (DOS)
En general. los ataques del Upo protesta
tienen que ver ms con generar una denega
cin de servicio (DoS. Dental of Servfce). que
con robar o destruir informacin. Esto es as
uso de dispositivos porttiles es su prdi
da o robo. Para protegemos contra estos
oeuaros. debemos asegurarnos de realizar
copias de seguridad de los datos que
conuenen: y eratotsr la informacin que
almacenan a fin de dificultar su lectura por
parte de terceros.
 ~"'"'"' ,,

-
e ,
BankofAmerica~

~S1~nl11.
Borrow lnvast ~ protect Plan
5o<ernCn...,.., ......,.

io<0'1M""
Knowyour
balan~
~
~ Online Banking
Take charge of your money wlth 24/7 access

"""''"""IOMO<:~
VourPrlv~cyHmlSec.url~
f:41 =~:cci:i~l
v'"'I"
'otl oo..idont t~t ~oo"r bon~mg
1ocuroly ""~ "'P"'t<<11on.
Reoon~"""'' moih
Kno,.yormd''"'"''"" OlherSuvlcH

~ ..==na
GllSltrtlldo
y,..,,.,,.<unl>mml\montn

Flgura za. Las instituciones financieras de todo

porque generar un Dos suele ser relativamente el mundo suelen ser el objetivo de ataques. por

sencillo si se cuenta con una cantidad suficiente representar una potencia/ ganancia de dinero si se

de atacantes. La idea detrs de este mtodo es consigue vulnerar su plataforma de banca en linea

agotar lodos los recursos del sistema. para que

este quede imposibilitado de responder a las
peticiones de clientes legtimos.
Si somos los encargados de asegurar una infra
estructura de servidos que podra ser victima
de esta clase de peligro, deberemos tomar los
recaudos necesarios e implementar los filtros
correspondientes para evitar que nuestros
servicios dejen de responder. En el caso de los
ataques DoS o los ataques distribuidos de DoS
(DDoS), la forma ms eficiente de protegernos es
restringir la cantidad de conexiones que un mis
mo cliente puede realizar hacia nuestro servidor.
bloqueando cualquier conexin que exceda esos
lmites. Esto puede llevarse a cabo fcilmente si
contamos con un firewall. ya sea un dispositivo
especializado o alguna de las soluciones de cdi
go abierto basadas en sistemas UNIX
Con los tres comandos que figuran a continua
cin, podemos utilizar el filtrado IPTables de
los sistemas Linux para proteger las conexio
nes realizadas al puerto TCP/80 de nuestro
equipo. Esto permitir solo seis conexiones
por minuto, lo cual restringe. principalmente.
los ataques de tipo DoS. Por supuesto. habr
que ajustar estos valores de acuerdo con
nuestros requerimientos
lptables A INPUT P TCPm state vstate NEW
dpcrt 80 m recent set
iptables A INPUT p TCPm state =state NEW
dport 80 m re cent updateseconds 60
hltcount 7 l DROP
lptables A INPUT p TCPm state state NEW
dport80j ACCEPT
Debido a que los ataques del tipo DoS son muy
fciles de realizar. debemos estar preparados
para responder en forma adecuada
El PELIGRO DE LA PERSEVERANCIA
Cuando estamos administrando los siste
mas de una entidad que puede ser de gran
inters para los atacantes generalmente. por
cuestiones econmicas. polticas o mtliteres.
debemos tener en cuenta que no solo nos en
[rentamos con ataques superficiales. sino que
tambin podramos ser el objetivo de varias
semanas o meses de intentos de intrusin
Esto nos obliga a estar preparados de manera
adicional. y a implementar varias tecnologas
para la deteccin temprana de los ataques.
que nos permitan bloquearlos antes de que
causen cualquier Upo de daos a nuestra
infraestructura.
Para estos casos. los sistemas de deteccin
de Intrusos sern un aliado fundamental en
nuestra lucha contra los atacantes. porque
nos permiten reaccionar de forma proactlva
Figura 24. La herramienta LOIC (Low Orbit Ion
Cannon) fue desarrollada. originalmente. para realizar
pruebas de stress sobre servidores, pero muchos
atacantes la han usado para efectuar denegaciones de
servicio Chttp:/lsourceforge.net/projects/lolc).
IPV6
La nueva versin del protocolo de Internet se ha
hecho muy popular debido a que las direcciones
del 1Pv4 se estn agotando. y es inminente la
migracin a este nuevo estndar. Entre otras
cosas. 1Pv6 presenta varias caractersticas de se
guridad. como el uso de IPSecde forma nativa.
resultado de analizar la vieja versin del protoco
lo y de la experiencia frente a los problemas de
seguridad que esta contiene.
En caso de que vayamos a migrar nuestra
infraestructura a 1Pv6, debemos considerar
que esta nueva versin del protocolo no nos
garantiza que no tengamos problemas de se
guridad. De hecho. existen varios documentos
que analizan posibles conflictos de esta ndole.
asr que debemos estar preparados para res
ponder del modo adecuado.
Adems. si bien el protocolo 1Pv4 puede
parecer Inseguro. cuenta con la gran ventaja
de haber sido probado y utilizado durante
muchos aos. lo cual permite conocer las
falencias de seguridad y luchar mejor contra
ellas. En el caso de 1Pv6. una implementacin
 The Metasplolt Framework is
a free, open source penetralion
testing solution developed by
the open scurce community &
Rapid7
lUlln,.1oFromtwQl!<100>tO"'to11 .. o.,ow
Figura25. Metasp1oltes una herramienta muy
utl/lzada para Intentar penetrar en los sistemas.
Cuenta con una gran cantidad de plug/ns para real/zar
diferentestipos de ataquerwwwrnetasorou.comi
temprana pcdrta Implicar vulnerabilidades de
seguridad generadas. en particular. por el des
conocimiento y las malas configuraciones. asf
como tambin por el mal soporte que algunos
sistemas tienen para este protocolo.
Tambin es preciso considerar que. si hacemos
una migracin paulatina. estaremos un buen
tiempo conviviendo con un entorno mixto 1Pv4 /
1Pv6. lo que generar una carga adicional de ges
tin. y podra abrir nuevas brechas de seguridad
en nuestra infraestructura
EXPECTATIVAS PARA
EL FUTURO
La seguridad informtica. como profesin y
como mercado. avanza constantemente. Es cada
vez ms evidente la importancia de la informa
cin en los negocios actuales. y eso lleva a las
i?)\WHY USE
l_) METASPLOIT
Ur11~1n10.. uoownn..,.11m101111n
now1oouor111nor.1m tlroetasploit'1 .. 011m100.. 1r~
::e.::."::.~"~".:': ,:.."'""""'
11
'''"'IF>1tfn>,ill<0nlpono~:lflcn10olrno (lffi~if!Sploif 1.,. n '""'"' 'm ""''"
organizaciones a implementar medidas de segu
ridad como parte de sus procesos de negocio.
De la misma forma. la aparicin de nuevas
tecnologlas impulsa la evolucin de las tcnicas
de seguridad. que necesitan contrarrestar la gran
cantidad de malware y herramientas de ataque
que se generan dla a da
rocas las tecnoiocas mencionadas en este
captulo estn relacionadas entre s. de una u otra
forma. Las comunicaciones se estn unificando
en las redes IP. para transmitir voz. video y datos
a travs del mismo medio. Esto permite abaratar
costos y crear nuevas funcionalidades. que se
apoyan en la movilidad de los dispositivos port
tiles y el constante crecimientos en las vefocida
des de transferencia.
La Web se acerca cada vez ms al usuario. y lo
tiene como protagonista principal: ahora deja de
ser un simple lector. y pasa a ser un ente de inte
raccin. con las redes sociales y los servicios de
mensajera instantnea. que buscan mantener a
las personas constantemente en contacto unas
con otras. Sumado a que actualmente existen
muchas estafas electrnicas dirigidas a los usua
 Figura26. El capitulo
!l1
argentino de laInternet
<O
Society (ISOCAr)
~ ha desarrolladoun
~ excelentedocumento
llamado 1Pv6 para
~ todos. que explica
.. varias consideraciones
parala implementacin
del protocolo fPv6
en diferentes tipos
de ambientes (www.
lsoc.org.ar/edlciones/
lpv6ParaTodos.pdfJ.
ros, esto hace que cada da cada individuo deba
ser ms responsable para no resultar vctima de
ataques y robos de informacin. as como tam
bin para no convertirse en el puente que facilite
el accesoa dalosconfidenciales de una entidad.
Debido a la gran demanda de trfico y a la enor
me cantidad de usuarios de Internet. muchos
servicios se estn migrando a una arqultectu
ra de cloud cornputinq. y son numerosas las
empresas que cuentan con sus propias nubes.
formadas por servidores distribuidos a travs del
planeta. Esta tendencia de llevar nuestra informa
cln a servidores de otras empresas hace que
Todos los sistemasoperativos que im-
plementaron el protocolo1Pv6tuvieron
problemasen susprimerosintentos.por to
que debemos tener en cuenta este tema y
verificar exhaustivamente la documentacin
del fabricante de la solucin que vayamos a
implementar. As estaremos seguros de que
el protocolo se encuentra correctamente
soportado y no existen fallas conocidas.
debamos tomar recaudos particulares en cuanto
a qu Informacin subimos a la nube y cunto
confiamos en las compaas que se ocupan de
brindarnos estos servicios.
Toda esta enorme Infraestructura en poco tlern
po pasar a estar basada puramente en el nuevo
protocolo 1Pv6. que busca solucionar varias
de las limitaciones de 1Pv4. y permitir muchas
nuevas funcionalidades. Adems. promete que
casi cada dispositivo eectronco cuente con una
direccin IP. para poder comunicarse dentro
de lo que se espera que sea un mundo total
mente interconectado. Por lo tanto. debemos
familiarizarnos con los nuevos cambios que este
protocolo traer y prepararnos para utilizar las
funcionalidades de seguridad correspondientes.
as como tambin estar al tanto de las nuevas
amenazas que empezarn a surgir.
Desde el punto de vista econmico. las empresas
no pueden darse el lujo de invertir en todos los
aspectos relacionados con la seguridad. porque
el presupuesto para la adquisicin de software.
hardware y servicios es muy limitado y debe
administrarse estratgicamente. Es por eso que.
como profesionales. debemos estar a la altura
de las circunstancias y tener la capacidad de re
 e )1 http://www.lnteco.esJPrensa/Am1alldod_lNTECO/informe_lmlantacion_lPv6

nsa,Acrualldad ... +

~>~;:< .. '""""'"" ~.~~.

rr.____,/_'
,,,'','"'',..,,"ll..!l!.!KI!'
'"-",.,'-.-,,.-,_~,..,,u-:::=a....,
.,~.or .. ,., ..pl.0..do... l ~=~O a(fo ~~DO a
lnform~ob1e IH impllcecionu de Hguridadn la Implantacinde 1Pv6

io<l"'< .. onloi:""ll' .. dolO
mreco) -
\Cert ~;:::,-;,~:.::..E:::'l:E:::~~.:::-::-.;::::::::
lofoo~ .. 1o!'Mli1r

IOl>o1.,cor1Ddo~l--do
1... ,,.

PH""'l""'""""'cio<hndo1ol'OU:lmo""""''""'~ado""d''"' ... "'"''"''C"'Dto:<>loPl1

"""" "!""' ~<lfli"""_,.,
vorollo. I~"' oeli d
llti<lw><l,..P,~. f<tt<Oil.. '''"''m "'_,
o '" ~ ouonot ...... tfl
,,..,...,,. ......,<lo'""., .. ,..,_,~
<lo
-'"'""'..,""ldodH do-Modo ol<WUO""'"'lt1d6noio...., .. ~, ..... _,..,.,,.,,,.
''""""''~1m1~ol<00Klilodo1 ........ M1okloo

ffl .. ..., '""'

.,,..,....,,.,,.,..,.-.,.,1c1Ju,.,.,
''""'"" NTl!CO _"", _,..,, _h ""'"'"''"~<lo~'~""''""''
_,.,,.. .. .,.,,.,H....,,..,,. ...
.................. ~ .. ,,, ~ _""'

Figura 27. El Instituto INTECO ha escrito un

excelente Informe acerca de las !mp/icanclas de estudio que detallamos en este libro. asf como
seguridad en la !mplementacln del protocolo 1Pv6. tambin dominar los conceptos relacionados
Se encuentra d!spon!ble para su descarga gratuita en
con la seguridad nsrce como lo es la videovigilan
www.lnteco.es.
cla Se trata de puestos de suma responsabilidad.
muchsima emocin y un excelente salario
comenoar en qu se debe invertir para proteger Esto tambin deja un gran margen para que
adecuadamente los activos de una organizacin las personas que recin estn ingresando en
Tambin debemos buscar la capacitacin cons el mercado de la seguridad informtica oue
tante. para mantenernos vigentes en nuestra dan conseguir empleos rpidamente. ya sea
profesin. Un experto en seguridad informtica
deja de ser un simple empleado. y pasa a ser
una persona que tiene un valor muy alto en el
mercado. Debemos aprovechar esta situacin y Quienes estn interesados en estudiar las
hacer nuestro mejor esfuerzo por mantenernos causas y consecuencias del cruce de ntor-
en la elite de los profesionales. caracterstica que mecones personales disponibles en la red.
es muy bien recompensada en la actualidad. pueden leer el Capitulo 4 del excelente libro
Desde hace un tiempo. se han abierto muchos de Anlbal Ford. La marca de la bestia. En l.
puestos de trabajo del tipo CISO (Chief fnforma- este respetado comunic/ogo analiza en
tton Security Oficcer. o Jefe de Seguridad de detalle las formas de vigilancia y persuasin
la Informacin). Si aspiramos a ellos. debemos de fas que son objetos fos cibernautas.
contar con amplios conocimientos en la reas de
como asistentes o juniors
Si bien en un principio realizarn tareas bsicas.
son el inicio de una carrera apasionante. llena de
desafos y logros por alcanzar.
Dichos pronsticos pueden parecer futuristas.
pero. hasta hace poco tiempo. los telfonos celu
lares servan nicamente para realizar llamadas y
enviar mensajes de texto.

' ' La tecnologa

evoluciona, y lo
hace rpidamente.
La seguridad
informtica debe
hacer lo mismo, y
somos nosotros los
encargados de esa
evolucin

PARA PONER A PRUEBA

1. Qu es un ataque de phishing y de qu mane
ra puede prevenirse?
2.zue qu manera tenemos la posibilidad de
protegernos del Google hacking?
3. De qu forma podernos evitar el espionaje de
comunicaciones VolP?
4. Qu debemos considerar al adquirir un servi
cio de cloud computing?
5. De qu manera podemos defendernos de los
ataques del tipo DoS?
PARA APROVECHAR ESTE CAPITULO

DESCARGAR LA METODOLOGIA OSSTMM (WWWISECOMORG/OSSTMM)

DESCARGAR EL TOOLPACK DESDE (WWWPORTANTIERCOM) Y PROBAR LAS HERRAMIENTAS

QUE INCLUYE.

BUSCAR VULNERABILIDADES EN LAS BASES DE DATOS MENCIONADAS PARA EL SOFTWARE

QUE TENGAMOS INSTALADO EN NUESTROS SISTEMAS
ETHICAL
HACKING
En este capitulo aprenderemos a:
Objetivo 1 Comprender los conceptosde
Ethlcal Hacking y Penetration Testlng.
Objetlvo2 Buscar vulnerabllldades desde
distintas fuentes de Informacin.
ObJetlvo3 Conocer los pasos bsicos para
realizarun PenetratlonTest.
En este apndice analizaremos las tcnicas utili
zadas por los atacantes para ingresar en los sis
temas de forma no autorizada y veremos cmo
valemos de ellas para aumentar la seguridad de
nuestra infraestructura.
Los denominados Ethical Hackers son profe
sonales de la seguridad que estudian constan
temente las tcnicas de intrusin. asf como las
herramientas de ataque que suelen usarse para
vulnerar los distintos sistemas oromeucos.
Es
Importante remarcar que el concepto de Ethlcal
Hacking. bsicamente. implica saber cmo
atacar para saber cmo defender.
En ningn momento las tcnicas desarrolladas a
continuacin deberlan de ser puestas en prctica
Figura 1. OSSTMM es una de fas metodo/ogfasmas
utilizadaspara real/zar Penetratlon Tests.Su descarga
es gratuita en formato PDF en www.lsecom.org/
osstmm.

1 ~~.s;.Q.1)1
www=11wwwmmm'==11;1:11+11 1111 11:'111'1+1nnm1111+ 11

OSS'fMM open Source Security Tenin9 M11thodolo9yManual

byhWHorwg

Tiio Opon Sour<:o Socul'ltyTOlttng Mathodology

::~~!;:
Mnnual (OSSTMM) IS " peer-'""'""'"d

Or;~~o~n: .. :.c:~a~i~d':
~~~
fivo d"'1111ol< (<OctLoru;) wlllcb col!octLvoly Wd.
Informal.lo" andda~acont.rol. personnol 59Curity
awanmes hvel. frnud and 90cial eng1neertng
control l..,.,l.co111p"terand1etoocommumcaucm;
notworl<. WLr41Ht dt'l1Ctt, mohd d..,1cn,
phyS!Gal s..:urlty acc .. control. &eur.ty
pro::o<sQ><. ~od >hysi~.a.l lo<;;lll<>n< cuch ~~
bulkiln,;,parlmot.ero;.andmlllt.aryha-.

Tll OSSTMM foc..,.. on tite ~hn1cal .W...1lsot ei<aaly whl<oh l'1:!m nf!d to 00
t.iqd,whM to do C..fore, d1mng. ~nd "!t~r a .. cunty t...:. ud how to mo<l1re
~~1 :,.7:~ti~n7:~~~:;:,Ncn::;'.:;;;~~!;;:wrctic
... rogulanon.law. and

Existen varias certificaciones relacionadas
con el Ethical Hacking. Algunas de las ms
destacadas son las siguientes:
Offenslve Securlty Certlfled Professlonal
(OSCI')
GIAC Certlfled Penetratlon Tester ( GPEN)
OSSTMM Professlonal Securlty Tester
(OPST
Certlfled ExpertPenetratlon Tester
(CEPT
para fines malintencionadosy/o ilegales. Dentro
de las actividades realizadas por los Ethlcal
Hackers. la ms conocida es !a de Penetratlon
Testlng. Se trata. en trminos simples. de
simular un ataque real para analizar cules
son las vulnerabilidades presentesen una
infraestructura. a fin de poder solucionarlas
antes de que una persona malintencionada se
aproveche de ellas.
Contamos con varias fuentes de documenta
con para investigar sobre pentesttnq.
Adems, existen varias normas y rnetodoloqtas
que marcan algunas paulas y las mejoresoree
teas para llevar a cabo estosanlisis. Entre las
ms utilizadas podemos destacarNISTSpecial
Publication800115 y Open Source Securlty
TestlngMethodology Manual. (OSSTMM) de
ISECOM.
CLASIFICACIONES
Segn la forma en que realicemos un Penetration
Test. surgirn varias clasificaciones diferentes.
considerando distintos criterios. Cuando nos
encontramos frentea un proyecto de este
tipo. debemos tener en cuenta estas clasifica
ciones y dejar bien en claro cules sern los
alcances de las tareas que se van a realizar.
Adems, tenemos que definir si los sistemas
z
se van a atacar de forma tal que podramos o
~
llegar a provocar fallas en ellos.
Estas cuestiones son muy importantes para o
evitar cualquier malentendido y posible cns
gusto con nuestros clientes o jefes.
Adems, es necesario que. luego de habernos
puesto de acuerdo con las personas corres
pendientes. firmemos un compromiso legal
en el que se detalle que todas las tareas por
realizar son a pedido de la organizacin. De
este modo. evitaremos varios problemas. y la
organizacin entender exactamente qu es
lo que se va a hacer y cmo ser hecho.
Si bien es cierto que podemos uuuze:
varias herramientas para automatizar el
proceso de Penetration Testing. existen
algunas partes del procedimiento que
deben ser revisadas a mano. Debemos
tener en cuenta que las herramientas
automatizadas muchas veces pueden
ocasionar probfemas si no las configu-
ramos de forma correcta. Asf es que un
buen profesional debe saber discernir
entre qu tareas automatizar y cueles
INTERNO/EXTERNO
Este tipo de clasificacin apunta a diferenciar los
anlisis segn el lugar desde el cual se realizan
las pruebas. Si las hacemos desde Internet. como
podra realizarlas cualquier atacante desde su
casa. intentaremos recopilar informacin sobre
la empresa y de todos los servicios pblicos que
brinda (correo. sitios web. VPN. etc}
En el caso de los Penerration Tests internos,
nos ubicaremos dentro de la organizacin.
directamente conectados a la red local. Eso
nos permitir tener un nivel de acceso mucho
ms importante. debido a que tendremos
contacto con casi todos los dispositivos de la
infraestructura. y no solo con los que estn
expuestos a Internet.
Ms all de cualquier ventaja o desventaja
que presente cada modalidad. ambos tipos
de anlisis son necesarios. Un buen provecto
de Penetration Test deberla incluir tanto un
anlisis interno como uno externo.
CAJA BLANCA/CAJA NEGRA
Los Penetration Tests tambin se diferencian
sobre la base de la informacin compartida con
el profesional que se encarga de realizarlos. Si
compartimos informacin con el profesional. por
ejemplo, acerca de las direcciones IR la estructu
ra de los servidores. los servicios publicados y las
versiones de software que se utilizan. estamos
hablando de un anlisis del estilo Caja blanca. en
el que el profesional ya cuenta con varios datos
que le permitirn acelerar el proceso y realizar
pruebas ms especificas
En el caso de los anlisis del uoo Caja negra.
no compartiremos nmon tipo de informacin
con el profesional. y ser este el encargado de
averiguar todos los datos necesarios acerca de la
infraestructura que se va a analizar. Estos anlisis
son los ms cercanos a la realidad. debido a que
un atacante tendr que pasar por el proceso
de conseguir toda la Informacin referida a los
sistemas de la compae.ca mayora de las veces.

Figura 2. En esta
imagen podemos ver
que los datos arrojados
por fa herramienta
nos permiten
conocer cuales son
los servidores DNS
autoritarios de ese
dominio (en este caso,
ZoneEdit) y cules son
los servidores de correo
responsables de ese
dominio (en este otro
caso. los servidores de
Goog!e).
 IPAddress 1 Status
66.223.97.114 succeee
75.125.10.187 Succeed
174,122.105.9'\ succeed
209.85.229.26 Succeed
74.125.65.26 Succeed
Figura3. En Ja imagen vemos que todas las
direcciones IP relacionadascon portantler.com
pertenecen a equipos que se encuentran en los
Estados Unidos.
las organizaciones comparten cierta informacin
bsica con el Ethlcal Hacker. que servirn como
punto de partida para efectuar los ataques
En estos casos en los que se comparte informa
cin. pero a un nivel muy bsico. se habla de un
anlisis del tipo Caja gris.
RECONOCIMIENTO
Lo primero que debemos hacer al realizar un
Penetratlon Test es recabar toda la informa
cin posible acerca de la organizacin que
vamos a analizar. Para los ejemplos del resto
del captulo. evaluaremos la organizacin
Portantier lnformationSecurttv. en la forma
de Penetration Test externo y de Caja negra.
Todas las herramientas utilizadas a continuacin
son del tipo freeware o de cdigo abierto. Varias
de ellas pueden descargarse desde el sitio web
www.portantier.comen un nico paquete que
no necesita instalacin. Corren sobre plataformas
Microsoft Windows. aunque podemos encon
Country NetworkName
USAGeorgie 6622300NET
USATexes NET8LKTHEPLANETBLKEVl17
usa-rexes NE:T8LKTHEPLANETBLK16
USACelifornie GOOGLE
USACelifornie GOOGLE
trar herramientas muy similares para cualquier
sistema operativo.
Primero vamos a analizar la Informacin
provista por los servicios de DNS. utilizando
DomalnHostlngVlew.
La misma herramienta nos brinda informacin
acerca del servidor web en el que se encuentra
el sitio principal (www.portantier.com). En este
caso. es un servidor Linux. corriendo el software
Apache HTTPD. Adems. ocorreros utilizar
una herramienta con IPNetlnfo para conocer
algunos datos adicionales sobre las direcciones
IP obtenidas. Con esta informacin. ya tenemos
la posibilidad de conocer mas acerca la organiza
cin que estamos analizando.
ESCANEO
El siguiente paso en el proceso ser determinar
cuales son las caractersticas de los dispositivos
que utiliza la empresa en cuestin. Para hacerlo.
recurriremos a un software para el escaneo de
puertos. que nos permitir conocer los detalles
de puertos en escucha y software instalado en
cada uno de los equipos. Una vez que hayamos
utilizado dicho software, podremos obtener un
 Puerto Estado Servicio Versin

21/tcp Abierto FTP PureFTPd

22/tcp Abierto SSH OpenSSH4.3
25/tcp Abierto SMTP Exim4.69
80/tcp Abierto HTTP Apache2.221
170/tcp Abierto POP3 Dovecot
143/tcp Abierto IMAP Dovecot
443/lcp Abierto HTTPS Apache2.221
3306/tcp Abierto MySQL MySQL 5091

Figura4. Tabla 1. Este es el ejemplo de un informe del estado de los puertos ms usados en una conexin de red.

reporte muy similar al que aparece en la tabla.
Aqu podemos observar que existen varios puer
tos abiertos y muchos servicios ejecutndose
Google es uno de los recursos ms im-
portantes que podemos utilizar cuando
estamos realizando un eeneueuon Test.
Sabiendo cmo aprovechar las distintas
opciones de consulta a su base de datos. es
posible obtener una gran cantidad de mor.
mecen acerca de personas. organizaciones
y dispositivos
Existen varios libros y documentos que
profundizan en el lema. conocido como
Google Hacking. Esto no tiene que ver
con reoeer a Gooqte: sino con "hackear
utilizando cocae:
sobre el mismo equipa, como los servicios web
(HTTP y HTTPS). los servicios de correo CSMTP.
IMAP Y POP3). la base de datos (MySQU y otros.
Repetimos el proceso para cada una de las direc
cienes IP que hayamos conseguido en la etapa
de reconocimiento.
TIPOS DE ESCANEO
Existen varios mtodos para verificar el estado
en el que se encuentra un puerto. No lodos los
programas para escaneo soportan todos los
mtodos (Nmap sr lo nacei
Escaneo SYN: el SYN o escaneo stealth no com
pleta el TCP tnreewav handshake. Un atacante
enva un paquete SYN al objetivo: si se recibe de
vuelta la respuesta con el SYN/ACK. se asume que
podra completarse la conexin y que el puerto
est escuchando. Si llega un RST desde el objetivo.
se entiende que el puerto est cerrado o bien que
no est activo. La ventaja de este escaneo es que

-
t.., ,
suele dejar menos registros de loqueo en los 1 DS

Escaneo XMAS Tree. enva un paquete con los

flags FIN. URG y PSH activados. Si el puerto est
Googk 1 abierto. este no responde: pero si est cerrado, el
objetivo contesta con un paquete RSTJACK. Solo
funciona sobre sistemas objetivo que cumplan
con la implementacin TCP/IP dada par el RFC
793 (en ninguna versin de Windows)

Escaneo FIN: es similar a XMAS. pero nicamen

 Q,lliib

j
orllkoYo\prorcocurl(ftoolo.
ll'"'~""'
l'.lownln11d

eee
Rnporlll
Cuido

Ch11nae100

os
Ootoctlon

Th11 H~11n1.Ycon1mu111tYn.u 1p0kv111~.oooorrou11111~

~7mnp
C11tdo

[},,...JI

ravonw 1~111i1r toel11 rwo11r1'iliur1clwd

l>zfl l'O\I r~mlll~rwllh~11oru1a1.0
nllW tooll: In lhloocllclcn?
s.wroo11.0n,1,u 1111oit
Hm0p ~.MI l\olooood: Now w1tll Oophor creteect ~UJ)J)Q<lf O\lr n~t st.Jblo rolu000m a ~ur lnetudee !T7 MSE ocnpto, 2,092
os ll110err>rlnt3. ~nd 7,31~vtraiM eeteeeen 11onatut'fl. Ael&Mft roe111u mre uw Nm~p seripnno Enolne pe!'l'orm~nee.
ZenrMoCUI, &nd tha Np1no p~Ckf!lt enlrsi~ toot. [Downkwld J'.'l'Of!I 1 RelffH noloI
ThoH wllo mi o.reon can now w1tc11 P)'Odor1n.a 01Yld t'ltlth:I d1mom1u1to lh pcw1r oftht Nm1p Scn?1Jn11 Enlnt.
Thoyqlw an O'/Orvlow of NSE, un lt to oiiploro Mkrc>1ort's gtob.:11 notwork, writo ~n HSE script l'rom ccr~tch, md hack a

1wo~~m
~!!;!. m1m.1toGI ~Prosan~uon ;'.:IKI~

Figura5. Nmap es el softwarepara escaneode puertosmasreconocido.Cuentacon una grancantidad deopciones

y capacidadesespeciales.EsdeCdigoabierto.y est disponiblepara sistemas Wlndows,GNU/Linuxy otros.

te enva un paquete con el flag FIN activado.
Recibe las mismas respuestas y posee idnticas
limitaciones que XMAS.
Escaneo NULL: tamtnn es semejante a XMAS y
a FIN en las limitaciones y respuestas, pero enva
un paquete sin ningn flag activado
es el sistema operativo que se est ejecutando
en el dispositivo remoto, a travs del envio de
diversos paquetes de informacin y el anlisis de
las respuestas obtenidas Co del hecho de que no
haya habido respuestas).
Nmap tiene la capacidad de realizar la deteccin
de software y sus versiones

Escaneo IDLE: utiliza una IP deliberadamente ACCESO

modificada para mandar un paquete SYN a un
objetivo. Dependiendo del tipo de respuesta. se
puede determinar que el puerto est abierto o
no. Esto lo hace moniloreando los nmeros de
secuencia de las cabeceras IP.
IDENTIFICACIN DE SERVICIOS
Algunos escaneadores de puertos permiten
reconocer qu software se encuentra escuchan
do en un puerto y hasta en qu versin. Esto se
hace a travs de diversas tcnicas. siendo una de
las ms habituales la identificacin del rnersae
de bienvenida obtenido al conectarse.
Adems. existe la posibilidad de averiguar cul
En la etapa de acceso. intentaremos explotar
posibles debilidades o malas configuraciones de
los servicios ofrecidos por los dispositivos que
estamos analizando.
VULNERABILIDADES
Es bien sabido que todo software tiene vulnera
bilidades y otro tipo de fallas. Lo importante es
quin las encuentra primero. La mayora de las
veces. las vulnerabilidades son identificadas por
los propios desarrolladores del software. que
liberan parches para remediarlas
El tiempo que transcurre entre que una vulne
rabilidad se hace de pblico conocimiento y
g
i!jj fab1a11@cleb1an
8:;
file fdit ~ew Terminal t!elp
~ f ebi anadeb en -s telnet ww por terrtrer ccm 25
<5 Trying 17'1 122 105.94
Connec ted to ww por tent i er com
..
~
u
;
Escape cher ac ter- i s '"]'
220 spi der ar-vi xe com ESHTP Exi m <l 69 #1 Thu, 01 Dec 2011 13 oa 26 0800
220 \>fe do not au'tho r i ze the use of th s system to t r anspor t unso l i c i ted,
s.. 220 andyor bul.k e mar l
e
Figura 6. En laImagenpodemosver una conexinal
puerto25/tcp.Claramente.el servidorindica cules el
softwareque tieneInstaladoyen qu versin (Exlm 4.69).
Existen varios sitios web que poaemos utili
zar en nuestra tarea de obtener informacin
acerca de las vulnerabilidades que afectan a
determinados sistemas. Estos nos permiten
buscar por tipo de vulnerabilidad, producto
y fabricante. Algunos de los ms completos
e importan/es son:
http://osvdb.org(proyec/o de cdigo abierto)
http://nvd.nlstgov (mantenido por el N!ST)
En Ja imagen podemos observar una bsque
da dentro de la base de vulnerabilidades NVD.
~ fol !'Xi
1
1:1
que los administradores de seguridad aplican
los parches correspondientes se vuelve critico.
debido a que es esa la ventana en la cual los
atacantes podran aprovechar la vulnerabilidad
para acceder a un sistema
EXPLOITS
Existen ciertas vulnerabilidades que pueden ser
aprovechadas a travs del uso de herramientas
desarrolladas exclusivamente para ese fin. que se
denominan exolots
Dicho software suele estar desarrollado para
afectar especficamente a una vulnerabilidad en
particular. Su fin puede ser el de permltlr ejecutar
cdigo arbitrario o. simplemente. de tirar abajo
un sistema.
Los exploits pueden ser escritos empleando
una diversidad de lenguajes de programacin.
aunque suele usarse C.
Tambin pueden valerse de distintos tipos de
ataques. tales como desbordamiento de bfer.
Cross Site Sctptlnq. Formar Strings e Inyeccin
SQL. entre otros.
INFORMES FINALES
El resultado del proceso de Penetration Test
debe ser un reporte que nos permita conocer
exactamente dnde estamos parados y que nos
deje ver hacia dnde podemos ir con respecto a
la mitigacin de nuestras vulnerabilidades
 Miciosoft Winclows TCP/TP Stack geterence ccuoter rnrener Overflow Vul11erahiliry

ThefollowuliJproofofcQncepl$ava1lable

!dt1'v~lnerblltl~ploi11 '50~17.~

Figura 7.En la imagen observamos la bsqueda de

un explolt dentro del sitio web www.securityfocus.
com el cual mantiene una gran base de datos de
exploits y vulnerabilidades
Es necesario comprender que un nico reporte
no podra ser analizado por el personal directivo
de una organizacin y por el personal tcnico.
Por lo tanto. es necesario que. al finalizar el
Peretraon Test. obtengamos dos reportes. cada
uno de ellos enfocado en un perfil diferente. un
informe tcnico y un informe ejecutivo
En trminos generales. ambos deben ser y estar
etiquetados como confidenciales (definidas las
condiciones en el acuerdo de confidencialidad
firmado antes de comenzar la evaluacin).
Adems. es preferible que sean entregados de
manera impresa y en mano al responsable de la
organizacin que contrat la tarea. Otro modo
Figura B. Metasplolr (www.metasplolt.com) es una
de las herramientas ms populares para la bsqueda
y utlllzacln de explolts. Es un proyecto de cdigo
abierto, que cuenta con una versin comercial.

rl' Po.1 Tnt 1' Ac>.m1 )ondDo ' Admlnl111011Bn Comm1~ty

~Cot""' rt Oo~oo ). ;,'!-1 (>!)""""""~ ~- ~,11<-<0 ~D;fol QNwdlOSO

~~~~~
ri .,Ad<f, .. -..

--
QsN..... v.. v.n ""

~~ ~~
de mostrar los resultados suele ser mediante la
realizacin de talleres. en los que se demuestra
cules son tas vulnerabilidades halladas y cul
podra ser el impacto de que estas fueran explo
tadas por un atacante
INFORME TCNICO
Como es posible imaginar. el informe tcnico
est orientado al personal de tecnologa de ta
organizacin. Por lo general. debe contener una
serie de puntos comunes a lodos estos tipos
de anlisis. aunque obviamente. esto siempre
depende del consultor o empresa que lo realiza.
El reporte comienza con una seccin que
contiene informacin general respecto al tipo de
evaluacin que se lleva a cabo y detalles como
una introduccin. alcance. objetivos. etctera.
Luego, el informe detalla punlo por punto cada
una de las vulnerabilidades encontradas. croe
nadas sobre la base de la criticidad de cada una
el sitio web www.sans.org/readlng_
Figura 9. Desde
room/whitepapers/testlng podemos obtener varios
documentos relacionados con Penetratlon
Incluida una gura acerca de cmo confeccionar el
reporte final.
lit (Oc
llVoH9~
"'*" 11"'1" ~ool:morl<1
......"i_.. .
IOOI lfllp
"' im , .."'"'~ ....;_......., t~., ... ,
SANS lnfoSec Reading Room Penetration Testing
"'"""' ........ "t:.....,,..JtO_..., ... H,_IH_._ .. .,,,_..,,
.,.,.,..,- .. ,... ,,.,., .. ,~... -.,...,.~"'"' ....'"'-"''"""
"""'"""""""""'"'"'""'.,"'"'"'.-"'
..,.,.,,,_,,,..,,,..."''"'''" .." ...'"'
....,......""'"""''"'lil'"'"O
FM"""'$?9P'fl"'MllTH!c!.20ll
~~~:::~::.~:-.::.-:..:,"""'"*''""'
.~=.
~ .....,$Q!.l"l'""r""'.,""''"'~'""
de ellas. Esto permite a la organizacin obtener
una rpida idea de cules son los problemas que
debe resolver primero.
Por ltimo. debe incluirse un resumen final y
una lista de recomendaciones para subsanar los
problemas detectados
Es importante que tambin detallemos cu
les fueron las herramientas y/o metodologas
empleadas para obtener los resultados. lo cual le
permitir al personal tcnico efectuar sus propios
anlisis. ya sea para constatar cmo hicimos
nuestro trabajo o para verificar si las tareas de
rernedtacln estn dando resultado.
INFORME EJECUTIVO
El resumen ejecutivo est orientado a trans
mitir los resultados de la evaluacin a la alta
gerencia. Como regla general. no debe ser
extenso. ya que la persona que lo teer no
suele disponer de mucho tiempo para dedicar
a interpretar el material.
Se debe utilizar un lenguaje claro y poco tcnico
Test, Tambin se deben dejar en claro cules serian
las consecuencias directas para la organizacin
en caso de que las vulnerabilidades encontra
.!..
...,G"J.t< ...... nOft"l ... l ... OI
""'"""rs'"'....,'""''"'
c"'""""'"'-'",,." .. ""'"'".. ~''111""''""""""""
RidingRoom
:\.\.\:i
.
 Qj~

Penetnitlon Testlng Fnimework 0.58

l"leir>f.1>1ctk>nw.tl""''..tt'5
!! N(>twork FOOlllril"U\DIRot'iruk!iMCe)lheter.i:er woUd 11Uempt ta ~r ~muen ~f0<maoon as l)D!;!>ble olbau! ee ~cea ne{WO!k
P;ec!JfY1GISS<lr>et COr>IO"""""" r0fm5 l.C. OCll\oe ond P<IOS ..... A poo:;M, "-!Odd5 ~ 1<!bc<t Stlino; pot.\ 05tt"k'Ml<k!.-mofydofeot
ntll'llori dctt<tlori sysi:tms ond ~hrr ro;.rms el 11<ett<llon ere. oo'lorded 10 !he ne-tWO<k lN'Swco.Acluwotn.d.ie uyl<>g te clscowr P\lbkfY
"'"""lllelnlormoUonbyutll5t>~11wM>br"""""'llW.lhgtlf!Ws;1~.tc.M..:tM!lormv.""'1bem<11ertn"""'ondmoy~t1CWL{lln.....a
logo""dmoyt.....,ttielormor.,.,<11ms>lodllS>ot10Unsl..- asoc!ol"""""orD;)l'J>Col11u11ek
, O~IM.'OY& PrObln(r. frun,oatlor>C.n ~~WI....., <.l<..tnt\l)Ufp<)'.; s h "'' <1$$11$~~-.et'll' OS "1\ltlfprlntt>g Ao,,tnQl(.> ltl)llll;ol.lun~ ~ S...."'-'<J 05
llogelprlnthgmTCl'hl'<tod<"1gor1><inllnglslheprocnsoldel"""*'lltlwDPorathg~embWigutllsodonoremotehootlhlolscrled
PUD;'~P~!'l~r~rtcminanwir1~111t!t'll:lrl.ihtreMBrl""<1'lllnc:1'MIY!'t10Smol!fnr1t.aciN'l!l)'(leM\IP)OIP'IS!Nell/!l.e
ncv,.10). l'l>sSIYeOS~J11fnl1110~'*"<5ll!llom01eOStilsi1g 1110 p11ciu!t5t<"Ct,'MloOIVynnddoo5nct ro<tWe""YPdalt1'tc ~s.i1i.
4c1i,.,osnngo11lflr1lingto:""'ynoh;yandr~"~~IHldoll~tob<l_.tolll<lmcthoi!Oll>dw;,]~I01or~.{w\ocklhor10!l Dko1><11otOS~
rspond di'l'tr .... ly!OCttrflln!Yl)ftolpockllt, (thttttpOMtlfOOW(r"!eQllyanRFCMll ~~Ollf.4!0f)'rtlporiHl!l'otWllder (noi:6!lly
Mlg'aso~)Ms AMtikid..tntHhQ $Y$Ttm) ond ;g custam~kRts mtl'fbe ~ Ai>moto 41Pfc~lon$ beln sof\/llllan hosl ~n tlO <lflt<lf
lly ""0P'-"' pOrt on !hOl ho~t 6yp0rt scarmQ l Is then ~~ble to b~ uP e plc!l,..~<Jfy,h!ll applc~O;:nHre n.wri'>Qcnd t'*>r (he test
~w~

r M.'ISinlo!UN....

Figura 10. Desde el sitio web www.

vulnerabllltyassessment.co.ukpodemos
a una gula de tareas y herramientas que podemos
acceder
QU SIGUE?
utilizar para la realizacin de un Penetratlon Test.
Las tareas relacionadas con el Ettucal Hacklno.
as/ como tambin a una plantllla para escribir el
reporte final.
como los Penetratlon Tests. son complejas y
requieren de varias ruentesde informacin
das fueran aprovechadas por un atacante. Es para llevarse a cabo de manera correcta. Es
recomendable que los dalos acerca de las po importante consultar otros documentos. as
sibles soluciones a los problemas hallados sean como los sitios web mencionados a lo largo
expresados en costos y unidades monetarias. De de este capitulo.
esta forma. quien vaya a analizarlo tendr como Existen numerosas tcnicas de ataque. que
medida de relacin dichas unidades. Se suele se aplican a diferentes entornos (como SQL
representar el impacto de la explotacin de vul lnjection y Cross Site Scrtpnq). y diversos
nerabilidades en estos trminos para que quede conceptos que debemos tener en mente.
de manifiesto el costo que le traerla aparejado a como la evasin de medidas de seguridad
la compaa no lomar medidas para reducir los (rewalls. IDS. etc.).
riesgos asociados a esas vulnerabilidades. Por lo tanto. es necesario que nos mantengamos
Para el caso de los reportes ejecutivos. se constantemente capacitados y leyendo acerca
puede disponer de una exposicin hablada. con de las nuevas tcnicas y herramientas que apare
proyeccin de estadsticas y explicaciones sobre cen en el mercado.
los resultados. adems de ofrecer la posibilidad El Ethical Hacking debe ser bien conocido por
de consultar y hacer preguntas en el momento. todo buen profesional de la seguridad lntorm
En todos los casos. adems de plantearse los tea En este captulo hemos hecho un repaso
resultados obtenidos. es conveniente asesorar al por los conceptos ms importantes y hemos
cliente con respecto a las alternativas disponibles brindado referencias a algunos de los sitios web
para resolver los problemas. ms destacados sobre el tema.
 PARA PONER A PRUEBA
l Qu metodologas puede utilizar para realizar
;5 un Penetration Test?

..
~
u

2. Qu es un escaneador de puertos?
3. zccmo es posible identificar cul es el servicio
que se encuentra disponible en un determinado
z
~.. puerto?
4. Qu es un exploit?
s. Cuntos informes finales se deben presentar
despus de realizar un Penetralion Test?
En este apartado, encontraremos un listado de palabras
clave utilizadas en la obra. Su ordenamiento alfabtico
facilita el acceso directo al trmino buscado
NDICE TEMTICO

qentes,__------------124- orice_ __ __B2/9.6/99_

sucrack, __, ,,, ,_,,,_.,_,_,Bg_
1 Dlameter.L ----~

_ 8L10A_
Ajax...-----------J45_ DML ....._
Amenaza .._. ,__._ ..3.8/42/.72_ DN5 lQO_
rkela. , ,,,__ ,__, J23_ Dornalndostlnqylew __175_
Ar.paler:t_. ,__ ,__ , .7L Dos , __ J64_
Ar.pwatch ....,. ,_,,, __ ...J5/.7J.il.9_ QRI ._6917L

AsusCERL ,,,_.,_,,, __ Jl~L DfU'

_____ ZQ_

Autentlcacln ,_83/87/97l9-9/J.17/_ NISI_. 32l159ll72/J78-

.125/.127/.128J.129/.132l13Al.136ll63 _ NS/l._, .._ 21182.

BackLIP-------------59/95-
EC2 160_
BCL -----------------"l- Estndares.;..... ..Aa.
BCP. ------------------.70- E.ventlog__ ------- -----131-
BllL .. zo_ Exntolts. , , 17a_
Btometna., .. ,__,,,_.,_ ..,_J20/J27 Expostcln, .... ,__ , _38/J24L1.BL

B5D.....-------6ll051JllllR
Eacebook.L, ,_145_

CCDA--------------103- ElN __l7L

CCDE..---------103- Elrewalls .. ...84195/J.Qll10.4L
ccoe ,---103_ 120/.1261.185..... _.,_, __

CDP ... .al EJRSL. __ , --- --68-

CE2L J73- Er.eell?A.._. ,_, 128_

CERL-----------33/.68- fII'__.__ .100/102/J.28-

Certcacones, ,__ ,.._.,..._.,_..19_
Checkpont. ,__ .851122/15.L .Go_ogle . P.:Jus _____ 145-
GPHL __ _____ 173_
C15A .... ...2L
.GUJ _ _ ,_68-
CISM ...2L
CISO.. l69_

CISSP..------------20_ Hacking M6/J4.71172L173/JI6L18L

CLL....9.4. Hacklpedla, 9.8_

Continqencta , Z4 Hardenlnq l14/.ll7_
Conttamedida ,__ ,_,,, 39_ HJP.5__ _ __ J37Ll40_
CSS .. ---------------.145_
uonevcots. ----- ...-139ll4.0/J.4L MML.------135 ..
Host., ...--62/90/.132/1561158_ Mobile;OIE...__12.6_
WJ.E .. ----98/.105_ MondaRescue , .125_
M.ySQL_-- .. _ ....66/125..
l.CMP. ..-----95_
lDLL .. l27 l\l.AC.. ...- .. ----118116.4 ..
ID5 90/91/9L Nagl.as , ,.,..,.__ ,__.,_,__ fi.l/.67/J3.4_

IMAP. ..- ..----9.7_ 1\1.AL ...-----6.4 ..

ll\l.IEC0_ .... - .....- .... - .. -169... l\l.IDS.._. 9J/.105ll18_
lP..Netlnf.a --1.75_ l\l.ISJ.....- .....-3213.4/.112/.159/17.4/178..
IP.5_-----9.0/9.L Nortcn ..GhosL .......125_
ll'Sec. 155_
l\l.SA - ...---....21/BL
lP...Tables_ J5.L l\l.ULL . -----17.7_

U?.v.6 ....----166/.167_
JRC....-------150_ OCIA\LL. 33_

15C..... IOO_ .Qpen.LDAP. 128

ISECOM- ..---__l72_ 0penYAS ----..42167_
JSQ J6_ OP.SI _ -----173 ..
OS.CP. ------173 ..
Key.logger.s....1.19 OSSEL--------138_
KISS.....- ..-----2.4/29_ OSSIMM...
... - .. ---17L

LAl\l ... ---10.4 .. ear.ches__ ,__J12/J13/J.15L141L17J_

LDAP. .. 6.4187/.13.L P.erL------.951130 ..
Lnkedln.; _ ,26/J4.6 Phatmtnq ......--------------154.8-
Linux ......Jl1/J13/J22/.125/J28L e:hishlng __ ,. l5/J.OD/J46/J4.8-
13.4/.139/J51/J65/.175l177_. _ Phishtank _ ..,.. ,__.,_,__ ,__..,_148...
Logs - ...8.4/91/.l17/.130L13l/J32L138_ P.ollticas_ - ... ...46l6.4LZO/l05/.115/..
L5A .38_ ll7/J28/132/l61/Jfi7 _

P..QP.3 ----9711.46/176 ..
Malwar:e__ , . 15/1.19 PSIL - .. -------88..
M.BSA , , , , JJ.7_ P..y1hon .27L7B/.95l130..

MDS ..------130..
MetasploiL , J79
RANCl!L 94_ IL5 .. ------.83/97_
RDL J36_ Jokens..._, , 125
Rootklts J19_ Jrozanos.c, ... ,_, __ -----1.19_
Routers ]8/Jl2189/95/.101/104. I.UL 94_

RSS.--------J45- Jwltter.,__ , , 1,45_

RT.E'....--------J5-4_
UDL ....---- .83/95-
Scrlp_Ung. .__, .zz._ .UNllL. lll/l12/113L114L
scnots.c.__. ,__._61/.Z8/J24/J30/.14L l16/130ll32L136/J38/J4L ....-----
SecureJD __ J26_ UIM._. 8.4/l08/.120L150.
Secv.ldor l05/.l07/.ll0/116L
.121/l24/J26/J28/l30/J3.6ML ..- ..-- .YJr.tuallzacia.__ ,__,__ ,_,.,__ ..,_15.6_
SIEM ...------67/68/92. l/.LAN---------106_
SIL ..-----J54. .VN[_---------136-
Slx.Stqma.__, ,__ ,.,_,,, ,J.Q_ llOJP.._. . __ 154.

Smar:tCar.ds125_ .VeN_. 94/JQ8/J36/J55/l63/J74_

SMIE------97/l00/J05L13L .\lulaer.abilidad_ ...38l94/.l08l1ft/178-
SNMP..----36/E2/77L79/93L .V.Mlaf.ormer.. ..,__ ,__, ,__,__ ..,_15.9_
96/10J/J07/l24/J37_._ .. _ .._
SNMP. 36L62/Z7/.79/93L .Webmin __ , ,.,_,__ ....,.__ ,_,_137_
9.6LlOJ/J07/l24/J37_._ .. _ ..__ Wiodo.w5- - __tl1/l12lfl/Jl5L
SPAM J53_ l16/l18LU9/J22/J28Ll30/J32 _
Sp,.y..ware_ __ ,, ,_,,, __ ,,, J19_ WML. ..-------621.133/.135.
WPA__ Bl:
SIUP..--------J54.
ss~---------96/J36_ WP.E__. .87_

SSID ..... -----_735_ W.UL ------94.

Storage__, ,__,_J8!59/.157-
Stunnet.,__, , ,.,_ 9L XML _ --145_
Switches , ,__,_,,,__ .....zz..
SYJ,L ..--------J76_ Zabhx... .61_
_ __J22_
Syslog__ ..... -----84/130_

JACACSL ..----83_
I.CP/IP._ ...-----95_
 CLAVES PARA COMPRAR
UN LIBRO OE COMPUTACION

11] SOBRE El AUTOR Y LA EDITORIAL

PRESTE ATENCIN Al DISE"O

 J usershop.redusers.com
t

mi
DESARROLLO
~~l~

RedesWireless Trucos & secretos PC Aash' desa .... lo prolesK>nal

Estemanualesfundamentalparatodos
aquellosquequieranconocerafondo
las tecnolcqlas inalmbricas, y as
poder manejarlos dispositivosy equi
pos delaactualidad.Paraello,veremos
endetallesuinstalacin,configuracin
y mantenimiento
-7 COLECCIN: MANUALES USERS
-7320pginas/lSBN!178987-1773985
Estaobraestdirigidaaquienesdansus
primerospasosenelusodelaPC,como
arrolnatcocslos entustastasv amen
tesdelosmviles,losporttilesylatec
nologaengeneral,quebuscannuevas
ormasde secereselmsmo provechc
a sus dispositivos.
4 COLECCIN: MANUALES USERS
4320pAginas/lSBN97a.9871B570l-2
Estaobraestdestinadaatodoslos
desarrolladores que necesitan avan
zar en el uso de la platafonna Adobe
Flash y sacarle su mxirnu provecho.
A travs de los distintos captulos,
se explica cmo crear lll framework
oeuabalcperscnateaco.
4 COLECCIN: MANUALES USERS
4320pgirias/lSBN97B-987-1857-005

Oeacin de sitios vllebUnin2.0 C#Avanzado

Estaobraestpensadaparaapren
der a disear sitios web, sin tener
conocimientoscrevoaa travs de la
ltima versin de la herramienta
difundidayprofesionaldelaactualidad:
Adobe CS5WebPremium (Dreamweaver,
Photoshop,lllustrator).
Estelibrofueconcebidoparaayudara
quienes buscan aprender a programar
en Java, como tambin para aquellos
ms queconocenellenguajeperoquieren
profundizarsusconocimientos,atravs
dela aplicacin de buenaa prcticas v
lesmeerestcnlces.
Estelibroabrenuevasperspectivaspara
laprogramacindeaplicacionesconC#,
al llevar al lectcr a recorrer temas ms
avanzadosdellenguajeyelframework
.NET, con la ayuda de un catedrtico
expenc en el tema, autor de mltiples
ManualesUsers.

7 COLECCIN: MANUALES USERS 4 COLECCIN: MANUALES USERS 4 COLECCIN: MANUALES USERS

~320pginas/lSBN978987-1773-992 4320pginas/lSBN978-987177397-8 4320pginas/lSBN97B-987-1773-961

))
ilalo antes Gratis!
En nuestro s1t10, obtengaGRATIS un capitulo del libro de su eleccin antes de comprarlo
Administradorde redesWindows
Enestaobraseprnsentanlosfun<lamentos
ylasprcticasnecesariasparalainstala
clnvpuestaenrrarcteoe cne redccpo-
rativa.EllibroestcentradoenWSBS2011,
unsisternaoperativoparaservidorespen
sadoparaquienesnecesitanllevaradelan
tesolucionesdenetvvorl<ingabajocosto.
-7 COLECCIN: MANUALES USERS
-7320pginas/lSBN!178987-1773BOO
Estemanualesidealparatodosaquellos
quequieraniniciarseenlaprogramacin
demicrocontroladores.Atravsdeesta
obraooorn eprender sobretos mlcro
controladoresPIC16Fy18F,hastallegar
aconectarlosdispositivosdeformaina
lmbrica,entremuchos otros proyectos.
7 COLECCIN: MANUALES USERS
7320pginas/lSBN9789871773565 7352pginas/lSBN9789871773268
HTMLS
jnesta obra se presenta cn nuevo para
digmadelnternetqt1ecambiademanera
sustancialeldiseoydesarrolloweb.Alo
larqode sus cepholoaaprenderemosso
b'e osestnoeresweb que edstenvcc-
noceremoslasdiferenciasentrelasver
sionesanterioresylaactualdellenguaje.
7 COLECCIN: MANUALES USERS
7320pAginas/lSBN97a.9871773794
Programador .NET
Estelibroestdirigidoatodosaquellos
quequieraniniciarseeneldesarrollo
bajolenguajesMicroso~Atravsdelos
capluos detmenuataorenoeremos so
bre POO, la programacin con tecnolo
gas.NETydequmanerasedesenvuel
venconotrastecnologasexistentes.
-7 COLECCIN: MANUALES USERS
7320pginas/lSBN97B987ln3251
VISul
BASIC
GIAIEFNl'Nl.111.~
VisualBasic
Estelibroestescritopara aquellos
usuariosquequieranaprenderaprogra
maren VB.NET. Desde el IOEde progra
macin hasta el desarrollo de aplicacio
nesdelmundorealenVisualStudio2010,
todoestcontempladoparaconoceren
profundidad el lenguaje.
7 COLECCIN: MANUALES USERS
7 352 pginas/ ISBN 9789871773572
En esta obra aprenderemos a utilizar
Photoshop, desde la original mirada
delaautora.Conelfocopuestoenla
comunicacinvisual,alolargodellibro
adquiriremos conocmlentos nertccs v
crccoacere conocerfcs etectcsvter"
rramientasqueofreceelprograma.
7 COLECCIN: MANUALES USERS
1131 usershop@redusers.com
 J usershop.redusers.com
t
WORDPRESS
GIMf'RllC1o.PARALA a:EACOI
DEBUIGSPROfESIOffAl.ES
WordPress
Estemanualestdirigidoatodosaquelos
quequieranpresentarsuscontenidoso
csoesuscuentes aeevsoeworooess.
jn sus pcoeaet autcr ros ensee
desde cmo llevar adelante la admieis
tracindelbloghastalasposibilidadesde
interaccinconlasredessociales.
~COLECCIN: MANUALES USERS
~352pginas/lSBN9789871773183 7352pilginas/lSBN97898717J3.190
DesarrolloPHP + MySQL
Aqu se presenta la fusin de dos de
las herramientas ms populares para
etueserroao de epncecones web ceta
actualidad: PHPy MySOL. En suspgi
nes.elautor nos enseertas funcones
dellenguajeparaaplicarloaprendidoen
nuestros proyectos.
~COLECCIN: MANUALES USERS
-)432pginas/lSBN978-987-1773-16-9
))
Administradorde servidores
Estelibroeslapuertadeaccesopara
ingresar en el apasionante mundo de
los servidores. Aprenderemos desde
losprimerospasossobrelainstalaci6n,
conliguraci6n,seguridadyvirtualizaci6n,
hastatenerelcontroldelosservidores
enlapalmadenuestrasmanos.
?COLECCIN: MANUALES USERS
7352pginas/lSBN97B9871773176
Excel 2010
Estemanualresultaidealtantoparaquie
nesseinician en er uso oe rxcetcono
paralosusuariosquequieranconocerlas
nuevasherramientasqueofrecelaver
sin2010.Laautoranosenseardesde ware.Ensuspginasveremostodaslas
cmo ingresar datos hasta la furrna de
inprimirahorrandopapelytiempo
7 COLECCIN: MANUALES USERS
-7352pginas/lSBN978-987177315-2
Windows 7:Trucos y secretos
Este libro est dirigido a todos aquellos
que quieran sacar el mximo provecho
de Windovvs 7, las redes sociales y los
dispositivos uhraportlilesdel momento.
Alolargodesuspginas,ellectorpodr
adentrarseenestastecnoklgasmediante
trucosilditosyconsejosasombrosos.
7COLECCIN:MANUALESUSERS
Esta obra es una completa guia para
aprender a lfevaradelameun correcto
diagnsticoydeterminarlasolucinms
adecuadaparalosproblemasdehard
tcnicas necesarias para implementar
lassolucionesdelosprofesionales
7 COLECCIN: MANUALES USERS
-7320pginas/lSBN97B-987-1n3-14-5
ilalo antes Gratis!
En nuestro s1t10, obtengaGRATIS un capitulo del libro de su eleccin antes de comprarlo
PHP Avanzado
Estelibro brinda todaslas herramientas
necesariasparaacercaraltrabajodiario
del desarrollador los avances ms im
portantesincorporadosenPHP6.Ensus
pginas,repasaremostodaslastcnicas
actualesparapotenciareldesarrollode
sitios web.
~COLECCIN: MANUALES USERS
~4(){Jpginas/lSBN9789871773'077 ~384pginas/lSBN97B-9S7-1773-06-0
Photoshop
En este libro aprenderemossobre las
ms novedosas tcnicas de edicin de
imgenes en Photoshop. El autor nos
presema oe menera clara vprccato-
dcslcs ccncectcs necesarloadesdeIa
ceptura diqitalhastalas ms avanzadas
tcnicas de retoque
~COLECCIN: MANUALES USERS
~320pginas/lSBN978-987-1773-05-3
AutoCAD
Este manual nos presenta un recorrido
exhaustivoporelprogramamiisdifundi
do en dltco essrdopor corrouteoora a
nivelmundialensuversin2010.Ensus
piiginas,aprenderernosdesdecmotra
bajarcondibujospredeterminadoshasta
larealizaci6ndeobjetos30.
7 COLECCIN: MANUALES USERS
Grabaciny produccinde msica
A lo largo de este libro repasaremos
todos los aspectos del complejo mun
do de la produccinmusical. Desde
tas cesmes a teier en cuena at rno-
mentodelacomposicin,hastalamezcla
yelmasterizado,ascomoladistribucin
final del producto.
7 COLECCIN: MANUALES USERS
~320pilginas/lSBN978-9S7-1773-04-6
1131 usershop@redusers.com
Windows 7 Avanzado
Esta obre nos preseraa un reccrrldo ex
haustvo quanos permr accedera un
nuevoniveldecomplejdadenelusode
Windows7.Todaslasherramientasson
desarrolladascon elobjetivodeacom
oarer al lector en el camino a ser un
usuarioexperto.
~COLECCIN: MANUALES USERS
~352pilginas/lSBN97B98717730B4
Linux
Estelibroesunacompletaguaparami
grareiniciarseenelfascinantemundo
delsoftwarelibre.Ensuinterior,ellector
conocerlas caractensces oe tnuc
desdesuinstalacinhastalasopciones
oe emetemnento.ccntooesias veotaet
jasdesegurdadqueofreceelsistema
~COLECCIN: MANUALES USERS
~320pilginas/lSBN97B98726013B6
 J usershop.redusers.com
t

Premiere+After Effects
Estaobranospresentaunrecorridode
teedo porres acacaclones euclovece-
lesdeAdobe:PremierePro,AfterEffects
ySoundbooth.Todaslastcnicasdelos
profesionales,desdelacapturadevideo
hastalacreacindeefectos,explicadas
deformatericayprctica
"""""'"frt
-:.;;;;i l1JtJ
=r
~
otfice 2010
Con este libro aprenderemos a utilizar
todaslasaplicacionesdelasuite,en
suversi6n2010.Adems,suautora nos
mostrar las necedades ms importan
tes,desdelosminigrficosdeExcelhas
taOfficeWebApps,todopresentadoen
un libro nico.
Excel Paso a Paso
Enestaobraencontraremosunaincrei
ble seleccin de proyectos pensada
para aprender.mediante la prcuce.fa
Icnna ds aqilizar nuestras taraas diarias.
Todaslasactividadessondesarrolladas
en procedimientos paso a paso de una
maneradidc~cayfcildecomprender.

~COLECCIN: MANUALES USERS 'COLECCIN: MANUALES USERS 'COLECCIN: MANUALES USERS

~320pginas/lSBN9789872601393 '352pginas/lSBN9789872601362 '320pginas/lSBN97B-987-26013-4-8

seguridad

C# 200 Respuestas:Seguridad Funcionesen Excel

Este libro es un completo curso de
programacin con CI actualizado a
laversin4.0.ldealtantoparaquie
nes deseen migrar a este potente
lenguaje como para quienesquieran
aprenderaprogramardesdeceroen
Visua1Studio2010.
Estaobraesunaguiabsicaqueres
ponde, en forma visual y prctica, a
todaslaspreguntasquenecesitamos
contestarparaconseguirunequipo
seguro.Definiciones,consejos,cla
ves v secretos.expncados de mane
ra clera.sencle vdtdctica.
Estelibroesunaguiaprcticadeuso
yaplicacindetodaslasfunciones
delaplanilladeclculodeMicrosoft
Desdelasfuncionesdesiempre has
ta las mscomplejas,todas presen
tadasatravsdeejemplosprcticos
y reales.

~COLECCIN: MANUALES USERS 7COLECCIN:200RESPUESTAS 'COLECCIN: MANUALES USERS

~400pginas/lSBN978-987-2601355 7320pgi11as/lSBN9789872601317 '368pginas/lSBN97B-987-26013-0-0

))
BIO fABIAN PORTANTlfR
Fabian Portantier es un reconocido consultor especializado en seguridad informtica, que dicta capacita
ciones y cursos basados en las certificaciones ms importantes en el rea. Destacado referente en ta
materia en la comunidad de RedUSERS.com, ha trabajado para una gran cantidad de importantes empresas.
Esto le ha dado un slido conocimiento sobre las amenazas y vulnerabilidades que pueden encontrarse en
las diferentes infraestructurastecnolgicas, as como tambin el conocimiento de cules son las mejores
formas de proteccin para implementar en cada caso
Fantico de GNU/Linux en general y de Debian en particular, es conocedor de varios lenguajes,como
Python, Ruby, PHP y Peri; tambin ha trabajado con productos y tecnologas de diversas empresas, como
Microsoft, Fotinet, Watchguard, Checkpoint y Cisco, entre muchas otras.
Es propietario de Portantier lnformation Security, consultora especializada en ayudar a las empresas
con la implementacin de soluciones para la proteccin de datos. Adems, cuenta con un sitio web,
www.portantier.com, en donde pueden encontrarserecursos, como articulas y software

''
1 O minutos de capacitacin
pueden reducir hasta en un 70%
los riesgos de que una persona
sea vctima de phishing
Fu1nte:www.w1aih111ec1rity.um

SOBRE EL LIBRO
Este libro llevaral lectorporunrecorridoquevadesdelosfundamen1osprincipalesdela seguridad
informtica,aquellosque se emplean para escrbir los documentosms reconocidos.ascomo tambin
paradesarrollarlossistemasdemsaltonivel;hastatrucosespecfficosparalossistemasmsutiliwdos
enlasinfraestructurastecnolgicasdelaactualidad

RedUSERSI
Enestesitio encontraruna granvaliedadderecursosysoftwarerelacionedo,que leservirllncomocomple
men1oalcontenidodellibro.Adems,tendrlaposibilidaddeestarencontac1oconloseditores,ydeparticipar
delforodelectores,endondepodr lmercernbiarcpinlonesy esperlencias.
Sideseamsinformacinsobreellibro,puedecomunicarseconnuestroServiciodeAtencinallector:
usershop@redusers.com

~lnformationSecurity Nivel de usuario

FabfanPortantierisawellknown PRINCIPIANTE 0
technologysecurityconsultant.teacherand INTERMEDIO lif'
ownerofaconsultingagency.Thereader
will Ieamhow to implementsolutionsfrom
AVANZADO lif'
EXPERTO O