MATERIA: SEGURIDAD EN REDES Y TELECOMUNCIACIONES

https://html.rincondelvago.com/seguridad-en-redes-teleinformaticas-y-
telecomunicaciones.html

https://es.slideshare.net/brassfield26/estructura-en-un-rea-de-seguridad-informtica

https://www.telepieza.com/wordpress/2008/03/09/los-diferentes-dispositivos-de-
conexion-en-redes-repetidor-hub-bridge-switch-router-y-gateway/

http://www.fundacionctic.org/sat/articulo-medidas-de-seguridad-basica-iv-
recomendaciones

SEGURIDAD EN REDES
TELEINFORMÁTICAS Y TELECOMUNICACIONES

INTRODUCCIÓN
Los requerimientos en la seguridad de la información de la organización han
sufrido dos cambios importantes en las últimas décadas. Previo a la difusión en el
uso de equipo de información la seguridad de la misma era considerada como
valiosa para la organización en las áreas administrativas, por ejemplo el uso de
gabinetes con candado para el almacenamiento de documentos importantes.
Con la introducción de las computadoras la necesidad de herramientas
automatizadas para la protección de archivos y otra información almacenada fue
evidente, especialmente en el caso de sistemas compartidos por ejemplo sistemas
que pueden ser accesados vía telefónica o redes de información. El nombre
genérico de las herramientas para proteger la información así como la invasión de
hackers es la seguridad computacional.
El segundo cambio que afectó la seguridad fue la introducción de sistemas
distribuidos así como el uso de redes e instalaciones de comunicación para enviar
información entre un servidor y una computadora o entre dos computadoras. Las
medidas de seguridad de redes son necesarias para proteger la información
durante su transmisión así como para garantizar que dicha información sea
auténtica.
La tecnología utilizada para la seguridad de las computadoras y de las redes
automatizadas es la encripción y fundamentalmente se utilizan la encripción
convencional o también conocida como encripción simétrica, que es usada para la
privacidad mediante la autentificación y la encripción public key, también conocida
como asimétrica utilizada para evitar la falsificación de información y transacciones
por medio de algoritmos basados en funciones matemáticas, que a diferencia de la
encripción simétrica utiliza dos claves para la protección de áreas como la
confidencialidad, distribución de claves e identificación.
El uso creciente de la tecnología de la información en la actividad económica ha
dado lugar a un incremento sustancial en el número de puestos de trabajo
informatizados, con una relación de terminales por empleado que aumenta
constantemente en todos los sectores industriales. Ello proviene de la importancia
que la información y su gestión poseen en la actividad de cualquier empresa.
Cuando se estudia el ámbito de la información que un puesto de trabajo genera se
encuentran modelos de distribución que indican que alrededor de un 90% de la
información generada tiene como destino el propio departamento, un 75% está
destinada a un punto distante no más de 200 metros del punto de generación, y
hasta un 90% queda dentro del propio edificio, lo que sólo le concede un 10% a la
información dirigida a destinos remotos. Independientemente del carácter
estimativo de las cifras anteriores es evidente que un esquema de distribución
como el mencionado, incita a acciones contundentes a optimizar la difusión de la
información que se mueve en un ámbito local.
La reubicación física de los puestos de trabajo es una realidad connatural con el
dinamismo de las empresas actuales. Esta movilidad lleva a unos porcentajes de
cambio anual entre un 20 y un 50% del total de puestos de trabajo. Los costos de
traslado pueden ser notables (nuevo tendido para equipos informáticos, teléfonos,
etc). Por tanto, se hace necesaria una racionalización de los medios de acceso de
estos equipos con el objeto de minimizar dichos costos. Las Redes de Área Local
han sido creadas para responder a ésta problemática.
El éxito de las LAN reside en que cada día es mayor la cantidad de información
que se procesa de una manera local, y a su vez mayor el número de usuarios que
necesitan estar conectados entre sí, con la posibilidad de compartir recursos
comunes. Por ejemplo, acceder a una base de datos general o compartir una
impresora de alta velocidad.
El crecimiento de las redes locales a mediados de los años ochenta hizo que
cambiase nuestra forma de comunicarnos con los computadoras y la forma en que
los ordenadores se comunicaban entre sí. La importancia de las LAN reside en
que en un principio se puede conectar un número pequeño de ordenadores que
puede ser ampliado a medida que crecen las necesidades. Son de vital
importancia para empresas pequeñas puesto que suponen la solución a un
entorno distribuido.
SEGURIDAD EN CÓMPUTO

Es posible enunciar que Seguridad es el conjunto de recursos (metodologías,

documentos, programas y dispositivos físicos) encaminados a lograr que los
recursos de cómputo disponibles
en un ambiente dado, sean accedidos única y exclusivamente por quienes tienen
la autorización para hacerlo.
Existe una medida cualitativa para la Seguridad que dice "Un sistema es seguro si
se comporta como los usuarios esperan que lo haga.
Propiedades de la Información que protegen la Seguridad Informática
La Seguridad Informática debe vigilar principalmente por las siguientes
propiedades:
Privacidad - La información debe ser vista y manipulada únicamente por quienes
tienen el derecho o la autoridad de hacerlo. Un ejemplo de ataque a la Privacidad
es la Divulgación de Información Confidencial.
Integridad - La información debe ser consistente, fiable y no propensa a
alteraciones no deseadas. Un ejemplo de ataque a la Integridad es la modificación
no autorizada de saldos en un sistema bancario o de calificaciones en un sistema
escolar.
Disponibilidad - La información debe estar en el momento que el usuario requiera
de ella. Un ataque a la disponibilidad es la negación de servicio (En Inglés Denial
of Service o DoS) o “tirar” el servidor
TIPOS DE REDES
Según el lugar y el espacio que ocupen, las redes, se pueden clasificar en dos
tipos:
1.Redes LAN (Local Área Network) o Redes de área local
2.Redes WAN (Wide Área Network) o Redes de área amplia
1.- LAN - Redes de Área Local:
Es una red que se expande en un área relativamente pequeña. Éstas se
encuentran comúnmente dentro de una edificación o un conjunto de edificaciones
que estén contiguos.
Así mismo, una LAN puede estar conectada con otras LANs a cualquier distancia
por medio de línea telefónica y ondas de radio.
Pueden ser desde 2 computadoras, hasta cientos de ellas. Todas se conectan
entre sí por varios medios y topología, a la computadora(s) que se encarga de
llevar el control de la red es llamada "servidor" y a las computadoras que depende
n del servidor, se les llama "nodos" o "estaciones de trabajo".
Los nodos de una red pueden ser PC´s que cuentan con su propio CPU, disco
duro y software y tienen la capacidad de conectarse a la red en un momento dado;
o pueden ser PC´s sin CPU o disco duro y son llamadas "terminales tontas", las
cuales tienen que estar conectadas a la red para su funcionamiento.
Las LAN´s son capaces de transmitir datos a velocidades muy rápidas, algunas
inclusive más rápido que por línea telefónica; pero las distancias son limitadas.

2.- WAN - Redes de Área Amplia:

Es una red comúnmente compuesta por varias LANs interconectadas y se
encuentran en una amplia área geográfica. Estas LANs que componen la WAN se
encuentran interconectadas por medio de líneas de teléfono, fibra óptica o por
enlaces aéreos como satélites.
Entre las WANs mas grandes se encuentran: la ARPANET, que fue creada por la
Secretaría de Defensa de los Estados Unidos y se convirtió en lo que es
actualmente la WAN mundial: INTERNET, a la cual se conectan actualmente miles
de redes universitarias, de gobierno, corporativas y de investigación.
TOPOLOGÍAS DE REDES
La topología de una red , es el patrón de interconexión entre nodos y servidor,
existe tanto la topología lógica (la forma en que es regulado el flujo de los datos)
,como la topología física ( la distribución física del cableado de la red).
Las topologías físicas de red más comunes son:
1.- Estrella.
2.- Bus lineal
3.- Anillo.
1.- Topología de estrella:
Red de comunicaciones en que la que todas las terminales están conectadas a un
núcleo central, si una de las computadoras no funciona, esto no afecta a las
demás, siempre y cuando el "servidor" no esté caído.
2.- Topología Bus lineal:
Todas las computadoras están conectadas a un cable central, llamado el "bus" o
"backbone". Las redes de bus lineal son de las más fáciles de instalar y son
relativamente baratas.
3.- Topología de anillo:
Todas las computadoras o nodos están conectados el uno con el otro, formando
una cadena o círculo cerrado.

COMPONENTES DE UNA RED

De lo que se compone una red en forma básica es lo siguiente:
1.- Servidor (server)
El servidor es la máquina principal de la red, la que se encarga de administrar los
recursos de la red y el flujo de la información.
Muchos de los servidores son "dedicados" , es decir, están realizando tareas
específicas, por ejemplo , un servidor de impresión solo para imprimir; un servidor
de comunicaciones, sólo para controlar el flujo de los datos...etc. Para que una
máquina sea un servidor, es necesario que sea una computadora de alto
rendimiento en cuanto a velocidad y procesamiento, y gran capacidad en disco
duro u otros medios de almacenamiento.

2.- Estación de trabajo (Workstation)

Es una computadora que se encuentra conectada físicamente al servidor por
medio de algún tipo de cable.
Muchas de las veces esta computadora ejecuta su propio sistema operativo y ya
dentro, se añade al ambiente de la red.
3.- Sistema Operativo de Red
Es el sistema (Software) que se encarga de administrar y controlar en forma
general la red. Para esto tiene que ser un Sistema Operativo Multiusuario, como
por ejemplo: Unix, Netware de Novell, Windows NT, etc.

4.- Recursos a compartir

Al hablar de los recursos a compartir , estamos hablando de todos aquellos
dispositivos de Hardware que tienen un alto costo y que son de alta tecnología.
En éstos casos los más comunes son las impresoras, en sus diferentes tipos:
Láser, de color, plotters, etc.
5.- Hardware de Red
Son aquellos dispositivos que se utilizan para interconectar a los componentes de
la red, serían básicamente las tarjetas de red (NIC-> Network Interface Cards) y el
cableado entre servidores y estaciones de trabajo, así como los cables para
conectar los periféricos.
TRANSIMISION DE DATOS EN LA RED
La transmisión de datos en las redes, puede ser por dos medios:
1.- Terrestres: Son limitados y transmiten la señal por un conductor físico.
2.- Aéreos: Son "ilimitados" en cierta forma y transmiten y reciben las señales
electromagnéticas por microondas o rayo láser.
1.- Terrestres:
a) Cable par trenzado: Es el que comúnmente se utiliza para los cables de
teléfonos, consta de 2 filamentos de cobre, cubiertos cada uno por plástico
aislante y entrelazados el uno con el otro, existen dos tipos de cable par trenzado:
el "blindado" , que se utiliza en conexiones de redes y estaciones de trabajo y el
"no blindado", que se utiliza en las líneas telefónicas y protege muy poco o casi
nada de las interferencias.
b) Cable coaxial: Este tipo de cable es muy popular en las redes, debido a su poca
susceptibilidad de interferencia y por se gran ancho de banda, los datos son
transmitidos por dentro del cable en
un ambiente completamente cerrado, una pantalla sólida , bajo una cubierta
exterior. Existen varios tipos de cables coaxiales, cada uno para un propósito
diferente.
c) Fibra óptica: Es un filamento de vidrio sumamente delgado diseñado para la
transmisión de la luz. Las fibras ópticas poseen enormes capacidades de
transmisión, del orden de miles de millones de bits por segundo. Además de que
los impulsos luminosos no son afectados por interferencias causadas por la
radiación aleatoria del ambiente. Actualmente la fibra óptica está remplazando en
grandes cantidades a los cables comunes de cobre.
SEGURIDAD EN REDES
La seguridad en los sistemas de información y de computo se ha convertido en
uno de los problemas más grandes desde la aparición, y más aun, desde la
globalización de Internet. Dada la potencialidad de esta herramienta y de sus
innumerables aplicaciones, cada vez mas personas y más empresas sienten la
necesidad de conectarse a este mundo.
De lo anterior, los administradores de red han tenido la necesidad de crear
políticas de seguridad consistentes en realizar conexiones seguras, enviar y recibir
información encriptada, filtrar accesos e información, etc.
No obstante lo anterior, el interés y la demanda por Internet crece y crece y el uso
de servicios como World Wide Web (WWW), Internet Mail, Telnet y el File Transfer
Protocol (FTP) es cada vez más popular.
El presente trabajo piensa dar una visión global acerca de los problemas de
seguridad generados por la popularización de Internet, como las transacciones
comerciales y financieras seguras, el ataque externo a redes privadas, etc.
Se trataran temas como el uso de firewalls, de llaves publicas (criptografía) y los
niveles de seguridad establecidos en la actualidad.
1. Aplicaciones posibles en una empresa
Tenemos que tener en cuenta que nuestra Intranet, esté o no conectada con el
exterior es muy probable que alguien quiera entrar a ella. No importa lo pequeña o
el poco valor que para nadie pueda tener. Simplemente un usuario mal
intencionado puede intentar atacarla. Este será el primer punto de trabajo para
tener segura nuestra red.
En el momento que estamos seguros que nadie puede entrar desde nuestra
propia red, si esta está conectada a Internet o a otra red solo nos tendremos que
preocupar de que lo que salga o entre de nuestra red sea lo que nosotros
queramos que salga o entre. Básicamente estos son los conceptos que tenemos
que tener muy claros desde el principio. No debemos dar mas importancia a la
seguridad externa que a la interna. De nada nos servirá tener un Firewall
 perfectamente configurado si luego nuestros usuarios hacen lo que quieren entre
ellos.
Tener siempre localizados todos los posibles problemas es algo que deberemos
estudiar. Tener la posibilidad de escanear cualquier utilización de la red.
Siempre y antes de hacer cualquier tipo de trabajo con respecto a la seguridad de
una red hay que sentarse a planear el trabajo a realizar. Tener muy claro desde el
principio todo es fundamental para conseguir un trabajo "limpio". Evitando después
"apagar fuegos". Una cosa es que deje de funcionar un servidor y por falta de
previsión no haya nadie para repararlo y otra cosa es enterarnos que han entrado
y se han llevado datos confidenciales de nuestra empresa.
Cada vez mas se tiende a utilizar los recursos que nos proporciona Internet para
nuestro negocio. Cualquier red, por pequeña que sea tendrá la necesidad urgente
de utilizar e-mail, web, ftp, etc. por motivos técnicos o estéticos. O en el peor de
los casos, nuestra propia red da información a todo el que la quiera en Internet.
Cuando instalamos un router, un proxy y servidores de servicios Internet en
nuestra red, abrimos una puerta al exterior. Cuando instalamos un módem para
que uno de nuestros usuarios se conecte a la red interna, trabajando en forma
remota desde cualquier sitio. Cuando nuestra red tiene que fusionarse con otra en
otra delegación, etc.
Reglas generales para evitar intromisiones:

 Mínimos espacios por donde salir o entrar.

 Mínimos recursos accesibles desde fuera.
 Mínima importancia de datos con posibilidad de robo.
 Máximos controles entre nuestra red y la red exterior.

Evidentemente la única regla que no se puede cambiar es la primera. Si la

importancia de los recursos que dejamos accesibles aumenta, también tendrá que
aumentar los recursos que se necesiten para asegurar dichos recursos.
Pongamos por ejemplo que nuestra empresa quiere hacer "comercio electrónico",
tomando pedidos por medio de métodos de pago electrónicos. Tendremos en
nuestro poder números de tarjetas de crédito y datos confidenciales de clientes.
Nuestra empresa tendrá que hacer marketing para darse a conocer en la red, y
ese mismo marketing servirá para que gente inquieta quiera intentar sacar datos
de los que compran en nuestra empresa virtual.
En este caso podemos dejar solo a la vista el servidor web, donde nos podrán leer
datos confidenciales, pero siempre entrando por un estrecho lugar en el que se
encuentra un firewall. Nuestro servidor estará certificado y registrado por todos los
sistemas de cifrado que se encuentren en el mercado "Verisign, Integrión, RSA,
SSL etc.." y todo el que entre o salga estará auditado por el Firewall.
Hay que tener en cuenta que muchas veces no solo damos servicios de web, y los
damos de e-mail, ftp, dns, tftp, cgi etc.. Todo esto es posible que algún día nos dé
problemas por lo que auditaremos absolutamente todo.

NIVELES DE SEGURIDAD
De acuerdo con los estándares de seguridad en computadoras desarrollado en el
libro naranja del Departamento de Defensa de Estados Unidos, se usan varios
niveles de seguridad para proteger de un ataque al hardware, al software y a la
información guardada.

NIVEL D1

Es la forma más elemental de seguridad disponible, o sea, que el sistema no es

confiable. Este nivel de seguridad se refiere por lo general a los sistemas
operativos como MS-DOS, MS-Windows y System 7.x de Apple Macintosh. Estos
sistemas operativos no distinguen entre usuarios y tampoco tienen control sobre la
información que puede introducirse en los discos duros.
NIVEL C1
El nivel C tiene dos subniveles de seguridad: C1 y C2. El nivel C1, o sistema de
protección de seguridad discrecional, describe la seguridad disponible en un
sistema típico Unix. Los usuarios deberán identificarse a sí mismos con el sistema
por medio de un nombre de registro del usuario y una contraseña para determinar
qué derechos de acceso a los programas e información tiene cada usuario.

NIVEL C2
Junto con las características de C1, el nivel C2 tiene la capacidad de reforzar las
restricciones a los usuarios en su ejecución de algunos comandos o el acceso de
algunos archivos basados no sólo en permisos, sino en niveles de autorización.
Además requiere auditorias del sistema. La auditoría se utiliza para mantener los
registros de todos los eventos relacionados con la seguridad, como aquellas
actividades practicadas por el administrador del sistema. La auditoría requiere
autenticación y procesador adicional como también recursos de disco del
subsistema.
NIVEL B1

El nivel B de seguridad tiene tres niveles. El nivel B1, o protección de seguridad

etiquetada, es el primer nivel que soporta seguridad de multinivel, como la secreta
y la ultrasecreta. Parte del principio de que un objeto bajo control de acceso
obligatorio no puede aceptar cambios en los permisos hechos por el dueño del
archivo.
NIVEL B2
Conocido como protección estructurada, requiere que se etiquete cada objeto
como discos duros, terminales. Este es el primer nivel que empieza a referirse al
problema de comunicación de objetos de diferentes niveles de seguridad.

NIVEL B3
O nivel de dominios de seguridad, refuerza a los dominios con la instalación de
hardware. Requiere que la terminal del usuario se conecte al sistema por medio de
una ruta de acceso segura.

NIVEL A
Nivel de diseño verificado, es el nivel más elevado de seguridad. Todos los
componentes de los niveles inferiores se incluyen. Es de distribución confiable, o
sea que el hardware y el software han sido protegidos durante su expedición para
evitar violaciones a los sistemas de seguridad.

2. CRIPTOGRAFÍA
La criptografía robusta sirve para proteger información importante de
corporaciones y gobiernos, aunque la mayor parte de la criptografía fuerte se usa
en el campo militar. La criptografía se ha convertido en un gran negocio
últimamente ya que es una de las pocas defensas que pueden tener las personas
en una sociedad vigilante.
• Terminología básica:

El mensaje es llamado plaintext ó cleartext .

La codificación del mensaje es llamada encriptamiento.
El mensaje encriptado es llamado texto cifrado.
El proceso de recuperar el texto original del texto cifrado es llamado
desencriptamiento.

El encriptamiento y el desencriptamiento requieren el uso de una llave y un

método de codificación de tal forma que el método de encriptamiento pueda ser
modificado únicamente por el usuario.
El criptoanálisis es la ciencia de descubrir el contenido de los mensajes cifrados.
La criptografía trata el manejo de los mensajes de seguridad, firmas digitales,
dinero electrónico, etc.

La criptología es una rama de las matemáticas que se encarga de estudiar las

bases de los métodos criptagráficos.

•Algoritmos básicos de criptografía:

Todos los algoritmos modernos utilizan una llave para el encriptamiento y

desencriptamiento, un mensaje puede ser desencriptado únicamente si la llave de
encriptamiento hace juego con la llave de desencriptamiento , para efectos
prácticos pueden o no ser la misma; aunque el algoritmo las ve como la misma.

Hay dos tipos de algoritmos básicos de encriptamiento . El algoritmo simétrico o

llave secreta y el asimétrico o llave publica, con la diferencia que el simétrico
utiliza la misma llave o una derivada de la original y el asimétrico usan llaves
deferentes para el encriptamiento y el desencriptamiento y la llave secundaria en
derivada de la primer. Los algoritmos simétricos pueden ser divididos en bloques y
cadenas cifradas, las cadenas cifran bit a bit y los bloques cifran grupos de bits (64
normalmente) como una unidad simple.
Los cifrados asimétricos pueden tener la llave de desencriptamiento pública, pero
la de encriptamiento es privado.
• Firmas digitales:
Las firmas digitales son bloques de datos que han sido codificados con una llave
secreta y que se pueden decodificar con una llave publica; son utilizados
principalmente para verificar la autenticidad del mensaje o la de una llave publica.
En una estructura distribuida se necesita una llave principal o raíz de conocimiento
publico y cada grupo define un grupo de llaves particulares autenticables con la
llave principal este es el concepto que maneja los sistemas PGP.
• Algoritmos de mezcla de funciones y por generación de números aleatorios:
En los algoritmos por mezcla de funciones se definen por el usuario o de forma
automática una secuencia de funciones de encriptamiento determinada de modo
que la única forma de desencriptar el mensaje sea corriendo la misma rutina con
sus correspondientes llaves en el encriptamiento por generación de números
aleatorios se generan una serie de llaves numéricas de forma aleatoria que son
usadas de forma automática por el ente de encriptamiento y el de
desencriptamiento. Hay sistemas de criptografía que son teóricamente inviolables
pero que en la realidad no se puede probar, un sistema de criptografía robusto
puede ser implementado de forma sencilla en la que la habilidad del creador es el
que determina su confiabilidad, las llaves pueden ser halladas por la fuerza
pasando todas las posibles combinaciones de las mismas así las llaves de 32 bits
toman 232 pasos para ser barridas por completo; se ha determinado que las llaves
de 128 bits son lo suficientemente confiables como para no requerir de mas bits en
la llave.
Aunque la longitud de la llave no es el punto más relevante en la seguridad del
criptograma ya que este puede roto de otra forma.
3. FIREWALLS
Un firewall es un sistema o un grupo de sistemas que decide que servicios pueden
ser accesados desde el exterior (Internet, en este caso) de un red privada, por
quienes pueden ser ejecutados estos servicios y también que servicios pueden
correr los usuarios de la intranet hacia el exterior (Internet). Para realizar esta
tarea todo el tráfico entre las dos redes tiene que pasar a través de él.
El firewall solo dejar pasar el tráfico autorizado desde y hacia el exterior. No se
puede confundir un firewall con un enrutador, un firewall no direcciona información
(función que si realiza el enrutador), el firewall solamente filtra información. Desde
el punto de vista de política de seguridad, el firewall delimita el perímetro de
defensa y seguridad de la organización. El diseño de un firewall, tiene que ser el
producto de una organización conciente de los servicios que se necesitan, además
hay que tener presentes los puntos vulnerables de toda red, los servicios que
dispone como públicos al exterior de ella (WWW, FTP, telnet, entre otros) y
conexiones por módem (dial-in módem calling).
Beneficios de un firewall
Los firewalls manejan el acceso entre dos redes, si no existiera todos los hosts de
la intranet estarían expuestos a ataques desde hosts remotos en Internet. Esto
significa que la seguridad de toda la red, estaría dependiendo de que tan fácil
fuera violar la seguridad local de cada maquina interna.
El firewall es el punto ideal para monitorear la seguridad de la red y generar
alarmas de intentos de ataque, el administrador de la red escogerá la decisión si
revisar estas alarmas o no, la decisión tomada por este no cambiaría la manera de
operar del firewall.
Otra causa que ha hecho que el uso de firewalls se halla convertido en uso casi
que imperativo es el hecho que en los últimos años en Internet han entrado en
crisis el número disponible de direcciones IP, esto ha hecho que las intranets
adopten direcciones CIRD (o direcciones sin clase), las cuales salen a Internet por
medio de un NAT (Network address traslator), y efectivamente el lugar ideal y
seguro para alojar el NAT ha sido el firewall.
Los firewalls también han sido importantes desde el punto de vista de llevar las
estadísticas del ancho de banda "consumido" por el trafico de la red, y que
procesos han influido mas en ese tráfico, de esta manera el administrador de la
red puede restringir el uso de estos procesos y economizar o aprovechar mejor
ancho de banda.
Finalmente, los firewalls también son usados para albergar los servicios WWW y
FTP de la intranet, pues estos servicios se caracterizan por tener interfaces al
exterior de la red privada y se ha demostrado que son puntos vulnerables.
Limitaciones del firewall
La limitación mas grande que tiene un firewall sencillamente es el hueco que no se
tapa y que coincidencialmente o no, es descubierto por un hacker. Los firewalls no
son sistemas inteligentes, ellos actúan de acuerdo a parámetros introducidos por
su diseñador, por ende si un paquete de información no se encuentra dentro de
estos parámetros como una amenaza de peligro simplemente lo dejara pasar.
Pero este no es lo más peligroso, lo verdaderamente peligroso es que ese hacker
deje "back doors" es decir abra un hueco diferente y borre las pruebas o indicios
del ataque original.
Otra limitación es que el firewall "no es contra humanos", es decir que si un hacker
logra entrar a la organización y descubrir passwords o se entera de los huecos del
firewall y difunde la información, el firewall no se dará cuenta.

Es claro que el firewall tampoco provee de herramientas contra la filtración de

software o archivos infectados con virus.
Algunas herramientas del hacker
Es difícil describir con gran detalle y cantidad las herramientas de un hacker
debido a que cada uno tiene sus propias técnicas y objetivos, algunos
simplemente espían (hackers pasivos), el otro tipo es de los que además de espiar
causan daños (hackers destructores). Aquí nombramos algunas del que puede ser
restringido por el firewall:
• El protocolo SNMP (Simple Network Manager Protocol) que puede ser usado
para examinar la tabla de ruteo que usa la intranet, y conocer de esta manera la
topología de la red. •El programa TraceRoute que puede revelar detalles de la red
y de los enrutadores. •El protocolo Whois, que es un servicio de información que
provee datos acerca del servidor de nombres de la intranet. • El acceso al servidor
DNS que podría listar los IP's de los diferentes hosts de la intranet y sus
correspondientes nombres. •El protocolo finger, que puede revelar información
sobre los usuarios (como su login, sus números telefónicos, la fecha y hora de la
ultima logueada, etc..) •El programa ping, que puede ser empleado para localizar
un host particular, y al correrlo a menudo en diferentes IP's construir una lista de
los host residentes actualmente en la red.
Probando la debilidad del sistema de seguridad
Después de recoger la suficiente información acerca de la constitución de la red y
los servicios que ella presta, el hacker intenta probar la debilidad de cada host.
Acto seguido el hacker escribe un programa que intenta conectarse a los
diferentes puertos de servicio de cada host. La salida de este programa será un
listado con los host y los puertos vulnerables.
Otra herramienta más sencilla es ejecutar diferentes aplicaciones que están
disponibles en el Web como el ISS (Internet Security Scanner) o el SATAN
(Security Analisys Tool for Auditing Networks) que penetran en el dominio de la
red y buscan huecos de seguridad. Estos programas son capaces de determinar el
grado de vulnerabilidad de cada sistema. Así el hacker tiene una lista de
posibilidades por donde atacar.
Obviamente el administrador de la red puede usar estas herramientas para
determinar cual es el grado de vulnerabilidad de su red y tratar de volverla mas
segura, ya sea cambiando el diseño del firewall o de conseguir "patches"
actualizados que tapen los huecos del sistema.
Una vez dentro
Si el intruso logra penetrar el perímetro de seguridad del sistema tiene muchas
opciones posibles:

• Puede intentar destruir las evidencias del asalto y crear nuevos huecos se
seguridad o "back doors" para seguir acechando por ellos.
•El hacker también puede instalar paquetes olfateadores "sniffers" que incluyen
Caballos de Troya que se ocultan en el sistema con el fin de recolectar
información interna de la red que le permita al hacker accesarla de diferentes
formas "mas legales". Por lo general estos paquetes sniffers
coleccionan logins y passwords olfateando los puertos de telnet y ftp. •Si el hacker
logra apoderarse de un acceso privilegiado como por ejemplo el del root o el de un
super usuario, podrá leer el correo, apoderarse de información, buscar archivos
privados y destruir o cambiar datos importantes.
Decisiones de diseño básicas de un firewall
Hay varias consideraciones a tener en cuenta al momento de implementar un
firewall entre Internet y una intranet (red LAN).
Algunas de estas consideraciones son:

• Postura del firewall

• Todo lo que no es específicamente permitido se niega. Aunque es una postura

radical es la más segura y la mas fácil de implementar relativamente ya que no
hay necesidad de crear accesos especiales a los servicios.
•Todo lo que no es específicamente negado se permite. Esta no es la postura
ideal, por eso es mas que todo usado para subdividir la intranet. No es
recomendable para implementar entre una LAN e Internet, ya que es muy
vulnerable.
 •Política de seguridad de la organización:
Depende mas que todo de los servicios que esta presta y del contexto en el cual
esta. No es lo mismo diseñar un firewall para una ISP o una universidad que para
proteger subdivisiones dentro de una empresa.
• Costo del firewall:
El costo del firewall depende del numero de servicios que se quieran filtrar y de la
tecnología electrónica del mismo, además se necesita que continuamente se le
preste soporte administrativo, mantenimiento general, actualizaciones de software
y patches de seguridad.
• Componentes de un firewall
Los componentes típicos de un firewall son:
• Un enrutador que sirva única y exclusivamente de filtro de paquetes.
• Un servidor proxy o gateway a nivel de aplicación (debido al costo, implementado
comúnmente en una maquina linux).
• El gateway a nivel de circuito.

CÓMO DISEÑAR UNA POLITICA DE SEGURIDAD PARA REDES

Antes de construir una barrera de protección, como preparación para conectar su
red con el resto de Internet, es importante que usted entienda con exactitud qué
recursos de la red y servicios desea proteger. Una política de red es un
documento que describe los asuntos de seguridad de red de una organización.
Este documento se convierte en el primer paso para construir barreras de
protección efectivas.

POLÍTICA DE SEGURIDAD DEL SITIO

Una organización puede tener muchos sitios y cada uno contar con sus propias
redes. Si los sitios están conectados por una red interna, la política de red deberá
agrupar las metas de todos los sitios que estén interconectados.
En general, un sitio es cualquier parte de una organización que posee
computadoras y recursos relacionados con la red. Dichos recursos incluyen, pero
no se limitan a lo siguiente:

Estaciones de trabajo.
 Computadoras anfitrión y servidores.
 Dispositivos de interconexión: compuertas, enrutadores, puentes, repetidoras
Servidores de terminal.
 Software para red y aplicaciones.
 Cables de red. Información en archivos y bases de datos.
La política de seguridad del sitio debe tomar en cuenta la protección de estos
recursos.
PLANTEAMIENTO DE LA POLÍTICA DE SEGURIDAD
Un planteamiento posible para desarrollar esta política es el análisis de lo
siguiente:

 ¿Qué recursos se quieren proteger?

 ¿De qué personas necesita proteger los recursos?
 ¿Qué tan reales son las amenazas?
 ¿Qué tan importante es el recurso?
 ¿Qué medidas se pueden implantar para proteger sus bienes de una manera
económica y oportuna?
 Examine con frecuencia su política de seguridad de red para verificar si sus
objetivos y circunstancias en la red han cambiado.

ANALISIS DE RIESGOS

Al crear una política de seguridad, se debe saber cuáles recursos de la red vale la
pena proteger, y entender que algunos son más importantes que otros.

El análisis de riesgos implica determinar lo siguiente:

• Qué necesita proteger.
• De quién debe protegerlo.
• Cómo protegerlo.
Usted no debe llegar a una situación donde gaste más para proteger aquello que
es menos valioso. En el análisis de riesgos es necesario determinar los siguientes
factores:
1. Estimación del riesgo de pérdida del recurso ( Ri ).
2. Estimación de la importancia del recurso ( Wi ).
Como un paso hacia la cuantificación del riesgo de perder un recurso, es posible
asignar un valor numérico.
Con la siguiente fórmula es posible calcular el riesgo general de los recursos de la
red:

WR = ( R1*W1 + R2*W2 + ........ + Rn*Wn ) / ( W1 + W2 + ........ + Wn )

Otros factores que debe considerar para el análisis de riesgo de un recurso de red
son su disponibilidad, su integridad y su carácter confidencial.

COMO IDENTIFICAR RECURSOS

El RFC 1244 lista los siguientes recursos de red que deben ser considerados al
estimar las amenazas a la seguridad general:

1.HARDWARE: procesadores, tarjetas, teclados, terminales, líneas de

comunicación, enrutadores, etc.
2.SOFTWARE: programas fuente, programas objeto, utilerías, programas de
comunicación, sistemas operativos, etc.
3.DATOS: durante la ejecución, almacenados en línea, bitácoras de auditoría,
bases de datos, en tránsito sobre medios de comunicación, etc.
4.GENTE: usuarios, personas para operar sistemas.
 5.DOCUMENTACIÓN: sobre programas, hardware, sistemas, procedimientos
administrativos locales.
6.ACCESORIOS: papel, formas, cintas, información grabada.

DEFINICIÓN DE ACCESO NO AUTORIZADO

Sólo se permite el acceso a los recursos de red a usuarios autorizados. A esto se

le llama acceso autorizado.
RIESGO DE DIVULGAR INFORMACIÓN

La divulgación de información ya sea voluntaria o involuntaria, es otro tipo de

amenaza.

SERVICIO DENEGADO

Es difícil predecir en qué forma aparecerá la negación de servicio. A continuación

se dan algunos ejemplos de cómo afecta a la red un servicio denegado:
 Una red puede volverse inservible mediante los actos de un paquete extraviado.
 Una red puede volverse inservible a causa del flujo de tráfico.
 Una red podrá ser fraccionada al inhabilitar un componente crítico de la red, como
un enrutador que une los segmentos de red.
 Un virus podrá restar velocidad o inhabilitar un sistema de cómputo al consumir los
recursos del sistema.
 Los dispositivos para proteger la red podrían revertirse.
CÓMO IDENTIFICAR A QUIEN SE LE PERMITE UTILIZAR LOS RECURSOS
DE LA RED
Puede hacerse una lista de los usuarios que requieren ingresar a los recursos de
la red. La mayoría de los usuarios de la red se divide en grupos como usuarios de
cuenta, abogados corporativos, ingenieros, etc. También deberá incluir una clase
de usuarios llamada usuarios externos. Estos son los usuarios que pueden tener
acceso a la red desde cualquier parte, como las estaciones individuales de trabajo
u otras redes.
IDENTIFIQUE EL USO CORRECTO DE UN RECURSO
El siguiente paso será el de proveer guías para el uso aceptable del recurso. Las
guías dependerán de la clase de usuario y por consiguiente sus normas. La
política debe establecer qué tipos de uso de red es aceptable e inaceptable, y qué
tipo de uso será restringido. La política que desarrolle se llamará política de uso
aceptable ( AUP ) para su red. Si el acceso a un recurso se restringe, deberá
considerar el nivel de acceso que tendrán las diferentes clases de usuarios.

Además, tal vez desee incorporar en sus políticas un enunciado concerniente al

software con derechos de autor y con licencia. También se debe tener una política
en la selección de una contraseña inicial de usuario. Las políticas como aquellas
donde la contraseña inicial es la misma que el nombre del usuario o que se deje
en blanco, pueden dejar al descubierto las cuentas. También lo sería evitar
establecer la contraseña inicial como una función del nombre de usuario, o alguna
contraseña generada en forma de algoritmo que pueda adivinarse con facilidad.
Algunos usuarios utilizan su cuenta hasta mucho tiempo después de creada; otros
nunca se registran. En estas circunstancias, si la contraseña inicial no es segura,
la cuenta y el sistema son vulnerables. Por tal razón se deberá tener una política
para inhabilitar total o parcialmente las cuentas que nunca se han introducido
durante cierto tiempo.
Si el sistema lo permite, deberá forzar a los usuarios a cambiar las contraseñas en
el primer registro. Muchos sistemas tienen la política de caducidad de contraseña.
Esto puede ser útil para proteger las contraseñas.
Hay utilerías Unix como password+ y npasswd que pueden emplearse para probar
la seguridad de la contraseña.

CÓMO DETERMINAR LAS RESPONSABILIDADES DEL USUARIO

La siguiente es una lista de aspectos que tal vez desee mencionar con respecto a
las responsabilidades del usuario:

Guías respecto al uso de recursos de red en caso de que los usuarios estén
restringidos y cuáles son las restricciones.
Lo que constituye abuso en los términos del uso de los recursos de red que
afectan el desempeño del sistema y la red.
¿Podrán los usuarios compartir sus cuentas o permitir a otros utilizar sus
cuentas?
¿Deberían los usuarios revelar sus contraseñas de manera temporal para permitir
a quienes trabajan en un proyecto el acceso a sus cuentas? Política de contraseña
del usuario. ¿ Con qué frecuencia deberían cambiar sus contraseñas los usuarios
y cualesquiera otras restricciones de contraseña o requerimientos?
¿Son responsables los usuarios de brindar respaldo de sus datos o es
responsabilidad del sistema?
Consecuencias para los usuarios que divulgan información que podría ser
propietaria.
? Una declaración sobre la privacidad de correo electrónico.
? Una política sobre comunicaciones electrónicas como falsificación de correo.
CÓMO DETERMINAR LAS RESPONSABILIDADES DE LOS
ADMINISTRADORES DEL SISTEMA

Cuando ocurren las amenazas a la seguridad de la red, el administrador del

sistema podrá examinar los directorios y archivos privados del usuario para el
diagnóstico del problema hasta cierto límite estipulado por la política del sistema o
red.
PLAN DE ACCIÓN CUANDO LA POLÍTICA DE SEGURIDAD HA SIDO VIOLADA

Si no ocurre un cambio en la seguridad de la red después de ser violada, entonces

la política de seguridad deberá ser modificada para retirar aquellos elementos que
no estén asegurados.
Si la política de seguridad es demasiado restrictiva o no está bien explicada, es
muy posible que sea violada. Cuando detecte una violación a la política de
seguridad, debe clasificar si la violación ocurrió por una negligencia personal, un
 accidente o error, ignorancia de la política actual o ignorancia deliberada a la
política. En cada una de estas circunstancias, la política de seguridad debe ofrecer
guías sobre las medidas a tomar de inmediato.

ESTRATEGIAS DE RESPUESTA A VIOLACIONES

Hay dos tipos de estrategias de respuesta a incidentes de seguridad:
 Proteger y proceder.
 Perseguir y procesar.

La metodología de la primera estrategia es proteger de manera inmediata la red y

restaurarla a su estado normal para que los usuarios puedan seguir utilizándola.
Para hacer esto, quizá tenga que interferir en forma activa con las acciones del
intruso y evitar mayor acceso.
El segundo enfoque adopta la estrategia de que la mejor meta es permitir a los
intrusos seguir con sus acciones mientras se observan sus actividades. Las
actividades del intruso deberán registrarse.
Una forma posible de vigilar a los intrusos sin causar daño al sistema es construir
una " cárcel ". Una cárcel, en este caso, define un medio simulado con datos
falsos para que lo utilice el intruso, para que sus actividades puedan ser
observadas.
En un sistema Unix el mecanismo chroot puede ser muy útil para hacer una
cárcel.

CONCLUSIONES
A pesar de que los niveles de seguridad encuentran de alguna forma su ubicación
en el modelo OSI, las estrategias de seguridad cada vez son más difíciles de
identificar en dicho modelo. Esto se debe a que todos los días los dispositivos que
tienen su ubicación en la capa física de la torre adquieren mas "inteligencia" y
autonomía, lo que los hace mas del tipo de capas superiores a pesar de que no
han perdido sus características de dispositivos físicos.
La seguridad de un usuario de Internet depende en gran medida de él, ya que la
entidad que presta el servicio de conexión solo puede garantizar la seguridad de
las aplicaciones comunes pero en lo referente a correos y transferencia de
archivos en usuario, normalmente, tiene el control y la responsabilidad.
Tanto las políticas de seguridad en el acceso como los sistemas de encriptamiento
dependen en gran medida de la habilidad que se tengan para implementarlas, este
hecho es incluso más relevante que el costo de los equipos que se utilicen para
desarrollar el sistema de seguridad sobre todo para el caso del código encriptado.
Cada vez son mas las estrategias de ataque a través de Internet, desde el nivel
físico (conexiones físicas ilegales) hasta el nivel de aplicación (desencriptadores),
pasando a través de niveles como transporte y de red (olfateando routers y
puertos de servicios en los servidores).
El auge del comercio electrónico en Internet ha obligado a las empresas que
dependen sustancialmente de esta clase de negocios a replantear las políticas de
conexiones seguras y de métodos de autenticación cada vez más complejos y
confiables. Muestra de ello es el proyecto SET que se ha documentado en este
trabajo.
También, por la globalización que ha tenido Internet a partir de la ultima mitad de
década, los ataques a redes privadas se han incrementado a tal punto que en el
momento se puede decir que es casi de uso obligatorio la implementación de
firewalls y/o proxis entre la intranet e Internet.
La seguridad en Internet ha sacado a flote de nuevo la industria de la criptografía
que había perdido vigencia a partir del fin de la guerra fría. Hoy es común observar
en los correos la llave de seguridad (PGP) del remitente.

MEDIDAS BASICAS DE SEGURIDAD.

A diario vemos noticias de acceso a datos de carácter personal, robo de imágenes

por la webcam de los portátiles, estafas a través de internet…

¿Y nosotros? ¿Estamos protegidos de ser una víctima más de esta

ciberdelincuencia?

Aquí os dejamos una breve recopilación de buenas prácticas a cumplir en nuestra

empresa.

1.- Ten siempre instalado en tus equipos un antivirus y una antimalware

actualizado.

Hoy en día y con ordenadores conectados permanentemente a internet puede

considerarse un suicidio el tener un ordenador con las puertas abiertas y sin
ninguna protección. El disponer de un antivirus ya sea de pago o gratuito
actualizable automáticamente es imprescindible, el elegir entra las distintas
alternativas en función de coste, consumo de RAM, etc. ya es decisión en función
de las preferencias del usuario. Respecto al antimalware con la continua descarga
de información, programas, etc., que realizamos siempre puede colarse algún
espía o troyano que puede robar información personal de nuestro ordenador, por
eso mejor evitar que lamentar a posteriori.

2.- Actualiza el software de tu equipo periódicamente.

Tener instalada una aplicación o un sistema operativo durante 3 meses significa

que son 3 meses que han tenido los hackers para buscar vulnerabilidades a través
de las que incorporar virus o troyanos, por eso conviene tener activas las
actualizaciones de sistema para que estos fallos de seguridad sean corregidos.
Ningún sistema informático doméstico o de empresa es infalible pero cuantos más
agujeros de seguridad estén tapiados menos posibilidades de entrada
facilitaremos a nuestros datos.

3.- Crea contraseñas seguras y cámbialas periódicamente.

Cuanto más difíciles y menos previsible sea una contraseña más segura será.
Toda buena contraseña debería mezclar mayúsculas, minúsculas, números y
símbolos permitidos, con eso dificultas que herramientas criptográficas puedan
descubrir nuestra contraseña. Hoy en dia existen administradores de contraseñas
que nos permiten almacenar todas las contraseñas que utilizamos para evitar
olvidarnos de alguna y no utilizar el camino fácil que es usar siempre la misma.

4.- Realiza Copias de Seguridad.

Más vale prevenir que lamentar y ya no solo en casos en que haya datos de
carácter personal y porque la ley nos obligue a ello sino para cualquier información
sensible que manejemos en la empresa. El uso de discos duros externos,
sistemas profesionales de backup o simplemente sistemas de almacenamiento
seguro en la nube, nos garantiza que al menos siempre habrá un sistema al que
recurrir en caso de pérdida de todos los datos del equipo.

5.- Activa el cortafuegos siempre.

En la Edad Media las ciudades construían murallas para defenderse de los

enemigos, pues en el mundo actual los cortafuegos ya sean hardware a software
son esas murallas que levantamos entre nuestros tesoros y los posibles enemigos
que intenten robarlos. Solo te supone un pequeño coste en tiempo de
configuración del sistema e incrementa exponencialmente la seguridad del mismo.

6.- Evita operaciones privadas en redes abiertas y publicas.

Con la aparición del Wifi todo el mundo anda buscando en las ciudades donde
conectarse a internet con su portátil o con su dispositivo móvil, costumbre que es
aprovechada por los amigos de lo ajeno para su provecho. El conectase a
hotspots o a redes abiertas de establecimientos públicos (hoteles, restaurantes…)
conlleva el riesgo de que información sensible como cuentas bancarias,
contraseñas puedas ser robadas a través de sistemas de sniffing. Por eso confía
solo de aquellas conexiones que sean realmente seguras.

7.- Acostumbra a cerrar siempre las sesiones al terminar.

Parece algo de Perogrullo pero es un error muy frecuente el conectarse en sitios

públicos (cibercafés, bibliotecas…) entrar en tu webmail o en tu Facebook o en tu
twitter y luego no cerrar la sesión con lo que la persona que viene detrás puede
acceder a tu información libremente ya que le has dejado la llave de la puerta de
tu casa puesta en la cerradura.

Por experiencia puedo deciros que raro es el taller en el centro SAT al que asistáis
y no dejéis alguna sesión abierta de alguna herramienta o servicio privado. Y creo
que por insistir y recordároslo no es.

8.- Cuidado con los ficheros que descargas o los enlaces que pulsas.

Es el error más habitual que cometemos, recibimos un correo de un conocido con

un adjunto sin nada de información o un enlace a una web y vamos de frente a
abrirlo sin pensar en las posibles consecuencias, guiados solamente por un título
atractivo. La prudencia y el sentido común son 2 cualidades importantes en esta
apartado.

No abrir nunca ficheros con doble extensión (por ejemplo video.avi.exe, o

canción.mp3.exe). Y por supuesto muchísimo cuidado con las cosas que se
comparten o se descargan usando redes p2p.

9.- Encripta la información de tus dispositivos móviles.

Los portátiles, teléfonos móviles, tables, smartphones, lápices usb, discos duros
externos tienen la facilidad de la portabilidad y el riesgo de que se pierdan o se
sustraigan fuera de nuestras instalaciones por eso es vital que nuestra información
este encriptada para que no caiga en manos de terceros como ya hemos
explicado en otros artículos de la temática.
POLÍTICAS DE SEGURIDAD

La conexión de un ordenador a la Red de Telecomunicaciones de la empresa conlleva ciertos

riesgos desde el momento en que dicha red está conectada a Internet. Desde Internet llegan
diariamente ataques, virus, gusanos, etc. y para minimizar los riesgos los usuarios de la empresa
deben cumplir las siguientes políticas de seguridad:

• Todos los usuarios responsables del uso de un ordenador deben garantizar que está protegido
por una contraseña suficientemente robusta, es decir, no trivial o evidente.

• Deben aplicarse periódicamente todas las actualizaciones de seguridad para el sistema operativo
que esté usando. Esta tarea es fácilmente automatizable en la mayoría de los casos.

• Los sistemas operativos deben de estar protegidos mediante antivirus eficaces. La Universidad
de Extremadura proporciona una licencia institucional de antivirus. Los usuarios de dicha licencia
deben responsabilizarse de mantener las instalaciones del antivirus correctamente actualizadas.

• No compartir carpetas sin contraseña.

• No están permitidos las conexiones externas vía modem o cualquier otro sistema que no pase
por los filtros establecidos por la Red de Telecomunicaciones.

• Instalar sólo el software que sea necesario.

• En la medida de lo posible sustituir los protocolos que no encriptan las contraseñas por otros
que si las encripten.

• No instalar servicios de red que no se vayan a usar.

Uso Aceptable

Los usuarios de la Red de Telecomunicaciones de la empresa utilizarán la infraestructura de la

red de esta institución para el intercambio de información cuyo contenido sea refrente al trabajo,
investigación, académico, educacional o necesario para el desempeño de la función
administrativa.

Los usuarios de la Red de Telecomunicaciones de la empresa deberán utilizar eficientemente la

red con el fin de evitar, en la medida de lo posible, la congestión de la misma.

8 Uso no Aceptable
La infraestructura y servicios ofrecidos por la Red de Telecomunicaciones de la empresa no deben
usarse para:

• Cualquier transmisión de información o acto que viole la legislación vigente en el Estado

Colombiano.

• Fines privados, personales o lúdicos.

• La creación o transmisión de material que cause cualquier tipo de molestia a los usuarios de la
empresa.

• La circulación de información difamatoria de cualquier tipo, ya sea contra entidades o personas.

• Distribución de material que viole derechos de propiedad intelectual.

• Desarrollo de actividades que produzcan: − La congestión de la red de comunicaciones o

sistemas informáticos mediante el envío de información o programas concebidos para tal fin. − La
destrucción o modificación premeditada de la información de otros usuarios. − La violación de la
privacidad e intimidad de otros usuarios. − El deterioro del trabajo de otros usuarios.

• Destrucción, manipulación o apropiación indebida de la información que circula por la red.

• Uso y obtención de cuentas de ordenador ajenas.

• Comunicación de contraseñas u otro tipo de información que permita a otros usuarios entrar en
el sistema.

• Proporcionar accesos externos a la Red de Telecomunicaciones de la empresa distintos de los

que la Universidad ofrece