Implementación de Politicas de Seguridad en Cómputo

Universidad Juárez Autónoma de Tabasco
División Académica de Ciencias Básicas
“Implementación de políticas de seguridad en

cómputo en la UJAT”
TESIS
Para obtener el titulo de:
Licenciado en Computación
Presenta:
José Juan Márquez Córdova
Asesor:
L.C. Tito Mundo Nájera
Marzo 2006 Cunduacán, Tabasco.

Índice.
Capítulo 1. Introducción 1
Capítulo 2. Seguridad 9
2.1 Esquema de Seguridad 10
2.2 Políticas y Procedimientos De Seguridad. 10
2.3 Propuesta de un sistema de seguridad 18
Capítulo 3. Software necesario para la seguridad en cómputo 21

3.1 Programas de análisis de seguridad en cómputo 21
3.2 Integridad de datos 25
3.3 Firewalls 26
3.4 Criptografía 30
Capítulo 4. Seguridad en la red UJAT 37
Capítulo 5. Seguridad en otras instituciones. 49

Universidad Nacional Autónoma de México 52
Universidad Juárez Autónoma de Tabasco 52
Benemérita Universidad Autónoma de Puebla 52
Instituto Tecnológico de Chetumal. 52
Instituto Tecnológico de Veracruz. 53
Instituto Tecnológico de Villahermosa. 53
Instituto de Ecología. 53
Instituto Tecnológico de Campeche. 53
Instituto Tecnológico de Minatitlan. 54
Instituto Tecnológico de Tuxtepec. 54
Instituto Tecnológico de Tuxtla Gutiérrez. 54
Universidad Veracruzana. 54
Universidad Cristóbal Colon. 55
Universidad Autónoma del Carmen. 55
Universidad Autónoma de Yucatán. 55
Centro de Investigación Científica de Yucatán. 55
Instituto Tecnológico de Oaxaca. 56
Instituto Tecnológico de Mérida Yucatán. 56
Universidad de Quintana Roo. 56
Universidad Autónoma de Chiapas. 56
Universidad de Ciencias y Artes del Estado de Chiapas. 57
Instituto Tecnológico del Istmo. 57
Universidad Autónoma Benito Juárez de Oaxaca. 57
Universidad Autónoma de Campeche. 57
Capítulo 6. Políticas de seguridad UJAT 59
Introducción. 59
Política de seguridad en cómputo 61
1.- Política sobre seguridad física 62
2. -Política sobre la seguridad lógica Red-UJAT 64
3. Política sobre la Seguridad lógica administrativa en recursos de cómputo 68
4. Política sobre la Seguridad lógica en servidores 70
5. Política sobre antivirus 72
6. Política para redes de investigación en Internet 2 74
7. Política de Programas P2P 76
8. Política de redes inalámbricas (Wireless Local Area Network) 78
9. Política de encriptación aceptable 83
10. Política de uso aceptable 85
11. Política de seguridad en línea ISDN / Analógica 89
12. Política de auditoria 90
13. Política de acceso DIAL-IN 92
14. Política de seguridad para laboratorio DMZ 94
15. Política de Correo electronico 98
16. Política de contraseña DB 100
Acrónimos utilizados dentro de las políticas de la UJAT 103
Capítulo 7. Guías para la evaluación de las políticas de seguridad

105
en la UJAT (políticas evaluadas)
Política de seguridad física
Acceso físico 106
Robo de equipo 107
Protección física 108
Respaldo 109
Política sobre la seguridad lógica Red-UJAT
De la Red-UJAT 110
De las dependencias de la Universidad Juárez Autónoma de Tabasco 111
Política de uso aceptable de los usuarios 112
De los servidores de la Red-UJAT 113
Del sistema institucional de información 114
Política sobre la seguridad lógica administrativa en recursos de computo
Área de seguridad en cómputo 115
Administradores de tecnologías de información 116
Política sobre la seguridad lógica en servidores
Servidores de las dependencias universitarias 117
Uso de los servidores por los usuarios 118
Política sobre antivirus
Antivirus de la Red-UJAT 119
Políticas antivirus de las dependencias universitarias 120
Uso del antivirus por los usuarios 121
Redes de investigación Internet2 122
Políticas de programas P2P 123
Política de redes inalámbricas
Reglamento del servicio 124
Sobre su uso del servicio 125
Política de seguridad en línea ISDN / Analógica 126
Política de auditoria 127
Política de acceso DIAL-IN 128
Política de correo electrónico 129
Política de Contraseña de BD 130
Capitulo 8. Conclusiones 131
Anexo “A”
Anexo “B”
Glosario
Bibliografía
Hipótesis
“Es necesario contar con un conjunto de políticas de seguridad para las redes de
cómputo de la Universidad Juárez Autónoma de Tabasco, que brinden las bases de una
correcta operación, funcionamiento e integridad de sus sistemas e infraestructura”.
Capítulo 1
Introducción
El uso creciente de la tecnología de la información en la actividad económica, ha dado
lugar al incremento sustancial en el número de puestos de trabajos relacionados con los
sistemas de cómputo, con una relación de computadoras personales y estaciones de trabajo
por empleado que aumenta constantemente en todos los sectores industriales. Esto proviene
de la importancia que la información y su administración posee en la actividad de cualquier
empresa.
Si se estudia el ámbito de la información que un puesto de trabajo genera, se encuentran

modelos de distribución que indican, que alrededor de un 90% de la información generada
tiene como destino el propio departamento, un 75% está destinada a un punto distante no
más de 200 metros del punto de generación, y hasta un 90% queda dentro del propio
edificio, lo que sólo asigna un 10% a la información dirigida a destinos distantes o
apartados.
Independientemente del carácter estimativo de las cifras anteriores, es evidente que un

esquema de distribución como el mencionado, estimula a acciones decisivas para optimizar
la propagación de la información que se mueve en un ámbito local.
El crecimiento de las redes locales a mediados de los años ochenta hizo que cambiará
nuestra manera de comunicarnos con las computadoras y la forma en que las computadoras
se comunican entre sí. La importancia de las redes reside en que en un principio se puede
conectar un número pequeño de computadoras que puede ser ampliado a medida que crecen
las necesidades.
Las redes constan de dos o más computadoras conectadas entre sí y permiten compartir
recursos e información. La información para compartir suele consistir en archivos y datos.
Los recursos son los dispositivos o las áreas de almacenamiento de datos de una
computadora compartida por otra computadora mediante la red. La más simple de las redes
conecta dos computadoras, permitiéndoles compartir archivos e impresoras. Una red
mucho más compleja conecta todas las computadoras de una empresa o compañía en el
mundo.
En años recientes, las computadoras y las redes informáticas están creciendo

vertiginosamente a diario. La “Era de la información”, hace que diariamente miles de
usuarios accedan a redes informáticas para satisfacer sus necesidades personales. Lo que no
debemos olvidar es que todo ello depende tanto de las computadoras como de las redes que
los comunican.
Desde un punto de vista educativo, la comunicación no es otra cosa que un proceso de

transmisión de información. En este sentido las redes informáticas se han convertido en
2 Tesis: Implementación de políticas de seguridad en cómputo en la UJAT
vías eficaces para transmitir la información estableciendo un proceso de comunicación

entre la máquina y el usuario. En todo momento el usuario que entra en la red puede
visualizar la totalidad de ella como un sistema de información único, aumentando la
productividad y disminuyendo los costos.
Así pues, las redes de comunicación, no son más que la posibilidad de compartir con
carácter universal la información entre grupos de computadoras y sus usuarios; es un
componente vital de la era de la información. La generalización de una computadora
personal y de las redes ha dado lugar a la posibilidad de acceder a información en bases de
datos remotas, cargar aplicaciones desde diferentes puntos, enviar mensajes a otros países y
compartir archivos, todo ello desde una computadora personal.
Las redes que permiten todo esto son equipos avanzados y complejos. Su eficacia se basa
en la unión de diversos componentes. El diseño e implantación de una red mundial de
computadoras es uno de los grandes milagros tecnológicos de las últimas décadas. Dentro
de esta era de información se encuentran los “sitios”, los cuales son cualquier organización,
ya sea militar, gubernamental, comercial, académica, etc., que posea recursos relativos a
redes y computadoras.
En este ámbito la labor más importante dentro de cualquier organización o sitio, la tiene el
administrador; ya que es la persona responsable de mantener en operación continua los
recursos de cómputo con los que cuenta un sitio. El administrador será también el
encargado de la realización de cambios en el sistema; cualquier cambio deberá ser
cuidadosamente planificado y probado en un entorno controlado antes de ser implantado en
producción.
Un administrador debe ser el que provea las soluciones. Si alguna actividad genera
problemas, debe tener previsto como restaurar una condición estable en el mínimo lapso de
tiempo. No solo debe pensar como implementar un nuevo cambio, sino además debe tener
previsto un plan de recuperación de emergencia, por si algo sale mal.
También debe plantear gradualmente las mejoras en el sistema, controlar los cambios
menores de los mayores y cuando cambie de golpe un gran número de cosas, de lo
contrario no sabrá que fue lo que falló ni porque hizo todos los cambios a la vez. Así podrá
diagnosticar un problema si sólo tocó un par de cosas y comprobar el funcionamiento antes
de seguir adelante y así no afectar a gran parte del equipo. Cada cambio que efectúe debe
ser anunciado con suficiente anticipación, cuando este afecte a los usuarios, de manera que
sepan como comportarse ante la novedad. El mejor sistema, funciona correctamente de lo
contrario puede ocasionar una pequeña revuelta si los usuarios ven afectado su trabajo,
aunque solo sean cambios de forma.
Pero ¿qué es un usuario?, un usuario es cualquier persona que hace uso de los recursos de
cómputo con los que cuenta un sitio u organización. La gestión de los usuarios es uno de
los aspectos más importantes de comprender; cada usuario debe de contar con su propia
cuenta que el sistema identificará permitiéndole acceder a el, y de este modo el sistema
controlará las tareas que pueda realizar.
Por ejemplo, la información que un sistema Unix mantiene acerca de cada usuario es la
siguiente:
• Nombre del usuario: El cual es el identificador único dado a cada usuario del
sistema
• Identificación de grupo (ID): Esta identificación de grupo del usuario se da por
defecto.
• Contraseña: Es una clave encriptada que el sistema almacena del usuario
• Nombre completo: El nombre real o nombre completo del usuario
• Directorio Personal: Es el directorio en el que se coloca al usuario al acceder a el
sistema. Cada usuario debe tener su propio directorio personal
• Interprete de comandos: Este intérprete de comandos es arrancado para el usuario al
acceder al sistema
Internet
Internet es otro concepto muy importante en estos tiempos. Es una red de computadoras
que conecta a otras entre sí a menudo se le denomina “red de redes”. Sirve de puente entre
otras redes de computadoras, en institutos académicos y gubernamentales, escuelas,
bibliotecas, corporaciones y también redes que brindan servicios a comunidades de
organizaciones no gubernamentales. El protocolo Internet es una norma de software
utilizada para interconectar estas redes une redes muy diversas e independientes de manera
que aparecen ante el usuario como si fueran una sola red.
Internet ofrece:
• Acceso a vastos recursos de información

• Una manera de conectarse desde cual cualquier país.
• Una manera de conectarse con más de 50 millones de usuarios en el mundo entero
• Un ambiente de cooperación para discutir, compartir ideas e investigar
• Un vínculo relativamente económico para intercambiar gran volumen de
información en el mundo entero
• Una posibilidad de conectarse y hacer investigación en cualquier otra computadora
de Internet ubicada en distintas partes del mundo
Es relativamente excepcional encontrar en países en desarrollo computadoras centrales

totalmente conectados con Internet que tengan a su disposición su completa gama de
herramientas, y que le permitan conectarse e investigar en otras computadoras Internet.
Ante el ambiente que predominaba en el pasado, en el que los sistemas operaban de manera
aislada o en redes propietarias, ha sido sustituido por las computadoras personales que cada
vez tienen mayor capacidad de proceso, la convergencia de las tecnologías y la difusión

masiva del uso del Internet.
Hoy en día los participantes se encuentran cada vez más interconectados y estas conexiones
se extienden más allá de las fronteras nacionales. Al mismo tiempo, el Internet forma parte
de la infraestructura de operación de sectores estratégicos como los de energía, transporte y
finanzas y desempaña un papel muy importante en la forma en cómo las compañías hacen
sus negocios, cómo los gobiernos proporcionan sus servicios a los ciudadanos y a las
empresas y cómo los ciudadanos se comunican e intercambian información de manera
individual. La naturaleza y el tipo de tecnologías que constituyen la infraestructura de
información y comunicaciones también han cambiado de manera significativa.
El número y el tipo de aparatos que integran la infraestructura de acceso se han

multiplicado para incluir dispositivos de tecnología fija, inalámbrica y móvil, y una
proporción creciente de los accesos están conectados de manera permanente. Como
consecuencia de todos estos cambios la naturaleza, volumen y sensibilidad de la
información que se intercambia a través de esta infraestructura se ha incrementado de
manera muy significativa.
La seguridad en cómputo
Todo esto nos lleva a dos conceptos importantes relacionados con las redes de cómputo y
el tráfico de información, los cuales son: los incidentes de seguridad, que son eventos que
ponen en riesgo la seguridad en un sistema de cómputo. Y el otro concepto son los ataques
de red, los cuales son eventos cuyo objetivo es causar daño a un sistema, robar información
del mismo, o utilizar recursos de forma no autorizada [1].
Ejemplo: El gusano Blaster tuvo parte de la culpa por el gran apagón el 14 de agosto del
2003
Después de todo, el Blaster (Lovsan), ayudó a provocar el efecto cascada que el pasado 14
de agosto dejó a oscuras durante varias horas, a varios estados norteamericanos y parte de
Canadá, además de entorpecer las tareas para restaurar la electricidad en la región de Nueva
York. El Blaster finalmente podría haber contribuido en aumentar el "efecto cascada" que
provocó el gran apagón del pasado 14 de agosto en los Estados Unidos.
El día del apagón, el Blaster disminuyó el desempeño de varias líneas de comunicaciones,
entorpeciendo el flujo de datos entre los centros claves utilizados por las compañías de
servicio público para manejar la distribución de la energía, según confirmaron las fuentes.
"No afectó el control de los sistemas internamente, pero si afectó el tiempo de transferencia
de los datos que se reciben de otras redes", dijo Gary Seifert, un investigador del
departamento de Energía del gobierno de los Estados Unidos, refiriéndose al flujo de los
datos de control usados para equilibrar las cargas, los que se transmiten por las redes
públicas de telecomunicaciones. "Ciertamente fue parte de los problemas", estando
relacionado con la congestión de las conexiones claves utilizadas por los servicios para
coordinar las acciones tomadas durante esta contingencia, agregó Seifert. La incapacidad de
cambiar rápidamente ciertos datos de control considerados críticos a través de la red de

distribución, podría haber obstaculizado la habilidad de los operadores para prevenir el
efecto cascada, dijo Seifert, aclarando sin embargo, que se ignora aún que fue lo que
ocasionó realmente el gran apagón.
Un consejero de seguridad del gobierno de George W. Bush consultado anteriormente, dijo

que el gusano Blaster, entorpeció también la habilidad para restaurar más rápidamente la
energía en la región de Nueva York, porque muchas de esas compañías corrían sistemas de
control basados en Windows, con el puerto TCP 135 abierto, el puerto usado por el gusano
para atacar a los sistemas. Algunas compañías de servicio comentaron en cambio, que no
habían sido afectadas adversamente. Carol Murphy, vicepresidente de asuntos de gobierno
en New York Independent System Operator, reconoció que el Blaster afectó el servicio,
pero dijo que el problema se controló rápidamente, sin que tuviera mayor impacto sobre las
operaciones de restauración de la energía. Joe Petta, un portavoz de la compañía Edison de
Nueva York, dijo que no había existido problema alguno relacionado con las computadoras
durante los trabajos de restauración. Los sistemas de control a los que se refieren Seifert al
principio, son los que se utilizan para el control y adquisición de datos (SCADA),
empleados en el manejo de grandes operaciones industriales, tales como las redes de
distribución de gas natural y de energía eléctrica. Estos sistemas generalmente están
basados en Windows 2000, o incluso XP, y se valen de las conexiones comerciales de
transferencia de datos, incluyendo Internet y sistemas inalámbricos, para el intercambio de
información.
Para Scott Charney, estratega principal de la seguridad en Microsoft, el Blaster afectó la

seguridad y el rendimiento de toda la red, y por lo tanto no habría ninguna diferencia en
como pudo afectar a la industria de la energía eléctrica. Joe Weiss, un perito de sistemas de
control de California, dijo que en el caso del Blaster, la distribución de la energía cayó
como víctima de un gusano que atacó la infraestructura de las comunicaciones. Sin
embargo, los sistemas de control en sí mismos, también están en riesgo.
En otro caso similar de gusanos, un servidor de una red de control que ejecuta SQL Server
de Microsoft, se infectó por no estar parchado (como en el caso del Blaster, el parche para
la vulnerabilidad que facilitó la distribución del Slammer, estaba disponible desde mucho
tiempo antes). El gusano aparentemente se distribuyó por las redes corporativas, hasta
alcanzar la crítica red de control y adquisición de datos (SCADA), desde una computadora
remota conectada a través de una conexión VPN. VPN es una red privada que protege,
mediante un proceso de encapsulación y en ocasiones de encriptación, los paquetes de
datos enviados a distintos puntos remotos mediante el uso de unas infraestructuras públicas
de transporte. Las VPN pueden enlazar oficinas corporativas entre ellas, con usuarios
móviles, etc.
Cómo resultado, la propagación del gusano bloqueó un sistema SCADA (Supervisory

Control And Data Acquisition, Supervisión, Control y Adquisición de Datos) [2]. Un
SCADA es un sistema basado en computadores que permite supervisar y controlar a
distancia una instalación de cualquier tipo. Se trata de una aplicación software
especialmente diseñada para funcionar sobre computadoras en el control de producción,
proporcionando comunicación con los dispositivos de campo (controladores autónomos,
autómatas programables, etc.) y controlando el proceso de forma automática desde la

pantalla de la computadora.
En México
Según datos recientes del Centro de Emergencia a Incidentes de la Universidad Nacional

Autónoma de México, CERT UNAM [3], los datos estadísticos del número de intrusiones
detectadas y de vulnerabilidades hasta el año 2000 han sido de: 41,162 incidentes
reportados (1988-2000). Y de 2,280 vulnerabilidades reportadas (1995-2000), de acuerdo
al organismo antes citado (Ver anexo “A”).
Las empresas implementan muchos programas contra los virus para evitar pérdidas
millonarias [4]. La inversión en sistemas de seguridad informáticos por parte de las
compañías se situará este año en 70.000 millones de dólares, una cifra que aumentará hasta
los 116.000 millones en 2007 para cortar el avance de los virus (Ver anexo “B”).
Los ataques informáticos se están convirtiendo en un problema de impredecibles

consecuencias económicas para las empresas de todo el mundo. Los virus, cada vez más
sofisticados y dañinos, están aprovechando las facilidades que presentan la Internet y los
fallos de seguridad de algunos programas informáticos para infectar a un gran número de
computadoras en todo el mundo.
La calidad de un sistema de información no sólo se logra con un buen diseño del sistema o
con un bajo nivel de riesgo. Para asegurar la calidad es necesario además, revisar la
documentación asociada al software con el objetivo de verificar su cobertura, corrección,
confiabilidad y facilidad de mantenimiento.
Niveles de Seguridad
Debe agregarse también, que el sistema debe cumplir las especificaciones y requerimientos
para su uso y desempeño deseados. Para obtener la calidad mencionada anteriormente, en el
análisis y diseño de los sistemas debe contemplarse los siguientes niveles:
• Prueba. Debido a que en el desarrollo de un sistema no puede demostrarse que esté

exento de errores, el concepto de prueba puede definirse como el proceso de
ejecutar un programa con la finalidad de encontrar errores o fallas, los mismos que
deben corregirse para dar mayor confiabilidad a un sistema.
• Verificación y Validación. De manera similar al anterior, la verificación permite
hallar errores y se realiza al ejecutar un programa en un ambiente simulado. La
validación consiste en un proceso por el cual se usa un software en un ambiente no
simulado, con el fin de encontrar errores que de existir, origina cambios en el
sistema. Para ello se hace trabajar al sistema en un ambiente real, en el cual se
procesan las transacciones en directo, emitiendo las salidas normales. No puede
establecerse un período de validación que puede ser corto o prolongado. Mientras
dure, el sistema puede fallar y se tiene que proceder a su modificación.
• Certificación. La certificación consiste en garantizar que un sistema de información

o software determinado esté correcto [5]. Existen normas internacionales que tratan
sobre este punto (ISO 9000). ISO es una organización internacional no
gubernamental, compuesta por representantes de los cuerpos de estandarización
nacionales, que produce estándares mundiales industriales y comerciales. La
mayoría de los países desarrollados poseen ya una organización nacional capacitada
para acreditar a organismos nacionales de certificación. Una vez aprobado el
proceso de acreditación, el organismo certificador recibe el permiso para conceder
certificados reconocidos. Esta normativa Internacional ha sido aceptada por más de
110 países.
Por esta razón, debe promoverse una cultura de seguridad que requiera tanto de un
liderazgo fuerte como de una participación amplia para garantizar que se le otorgue un
carácter prioritario a la planeación y administración de la seguridad, así como el
entendimiento de la necesidad de seguridad para todos los participantes.
Capítulo 2
Seguridad
El impresionante desarrollo y masificación de la tecnología durante los últimos años ha
propiciado la introducción a nuestro lenguaje cotidiano de frases y palabras que antes eran
sólo parte de una trama de película hollywoodense: hackers, ciberterroristas, fraudes
electrónicos, ciberbandidos, crimen digital, etc. Y es que el surgimiento y explosión de los
negocios basados en el Internet han traído a muchas compañías la oportunidad de tocar
nuevos mercados y de establecer procesos logísticos complejos que mejoran su
productividad y sus ganancias.
Desde 1992 cuando la organización para la cooperación del desarrollo económico (OCDE)
desarrolló por primera vez las Guías de Seguridad de los Sistemas de Información a la
fecha, se ha presentado un cambio muy dramático en el ambiente general de la tecnología
de la información y las comunicaciones, así como en el uso de los sistemas de información
y redes.
Estos cambios continuos ofrecen grandes ventajas, pero hacen necesario que los gobiernos,
los negocios, otras organizaciones y los usuarios que desarrollan, poseen, proporcionan,
administran estos servicios y usan sistemas de información y redes. Pongan mayor
atención en los aspectos relacionados con la seguridad.
Como resultado de la creciente conectividad, los sistemas de información y las redes son
más vulnerables ya que están expuestos a un número creciente así como una variedad
mayor de amenazas y vulnerabilidades. Esto hace que surjan nuevos retos que deben
abordarse en el tema de seguridad. Por estas razones, los participantes de la nueva sociedad
de la información deben hacer conciencia de tener un mayor entendimiento en los aspectos
de seguridad, así como el desarrollar una cultura de seguridad [6].
La seguridad en cómputo es un conjunto de recursos destinados a lograr que los activos de

una organización sean confidenciales, íntegros, consistentes y disponibles a sus usuarios,
autentificados por mecanismos de control de acceso y sujetos a auditoria.
Cada uno de los puntos antes mencionados se refiere a lo siguiente:
• Confidenciales: Consiste en que la información debe ser leída por su propietario o

por alguien explícitamente autorizado para hacerlo
• Íntegros: Se refiere a que la información no debe ser borrada ni modificada por
alguien que carezca de autorización para hacerlo
• Consistentes: Esto va a depender de que el sistema, al igual que los datos, se
comporten como uno espera que lo haga
• Disponibles: Se refiere a que la información debe estar siempre disponible en el

lugar y cantidad de tiempo requeridos
• Autentificados: Esto quiere decir que únicamente deben ingresar al sistema
personas autorizadas, siempre y cuando comprueben que son usuarios legítimos
• Control de acceso: Debe conocerse en todo momento quién entra al sistema y de
dónde procede
• Auditorias: Debe conocerse en cada momento las actividades de los usuarios
dentro del sistema [7].
2.1 Esquema de seguridad

Como primer punto, es necesario hacer énfasis en que el apoyo por parte de la gente con el
poder de decisión cuerpo directivo, dueños de los recursos, gerencia, etc. es fundamental
para el éxito de un esquema de seguridad, ya que sin él, algunos elementos de dicho
esquema no tendrían validez por ejemplo: políticas y procedimientos.
Es vital mantener en constante capacitación tanto al personal antiguo como al nuevo

mediante cursos, seminarios, congresos, etc., ya que la mejor defensa es el conocimiento.
Los usuarios deben conocer el uso adecuado de los sistemas de cómputo y saber cómo
protegerse a sí mismos de accesos no autorizados. Debe crearse una cultura de seguridad,
haciendo ver a la gente involucrada los peligros a los que se está expuesto en un ambiente
tan hostil como el que ha generado la evolución de las actuales redes de computadoras.
El primer paso a considerar en un esquema de seguridad, que muchas veces no recibe

suficiente atención, es la seguridad física. Como ejemplo, algunas medidas que se usan
para proteger las instalaciones en las que reside un sistema de cómputo son: llaves,
candados, tarjetas de acceso, puertas, ventanas, alarmas, vigilancia, etc.
Las recomendaciones con respecto a la seguridad física incluyen:
• Mantener las computadoras alejadas del fuego, humo, polvo y temperaturas

extremas
• Colocarlas fuera del alcance de rayos, vibraciones, insectos, ruido eléctrico y agua
• Mantener las computadoras alejadas de comida y bebida
• No desatender las sesiones de trabajo activas
2.2 Políticas y procedimientos de seguridad
Las políticas de seguridad son los documentos que describen, principalmente, la forma
adecuada de uso de los recursos de un sistema de cómputo, las responsabilidades y
derechos que tanto usuarios como administradores tienen y que hacer ante un incidente de
seguridad.
Mientras las políticas indican el “que”, los procedimientos indican el “cómo”. Los
procedimientos son los que nos permiten llevar a cabo las políticas.
Algunos ejemplos de políticas que requieren la creación de un procedimiento son:
Otorgar una cuenta

Dar de alta a un usuario
Conectar una computadora a la red
Localizar una computadora
Actualizar el sistema operativo
Instalar software localmente o vía red
Actualizar software crítico
Exportar sistemas de archivos
Respaldar y restaurar información
Manejar un incidente de seguridad
Para que esto sirva de algo, las políticas deben ser:
• Apoyadas por los directivos.

• Únicas
• Claras (explícitas)
• Concisas (Breves)
• Bien estructuradas
• Servir de referencia
• Escritas
• Revisadas por abogados
• Dadas a conocer
• Entendidas por los usuarios
• Firmadas por los usuarios
• Mantenerse actualizadas
Las políticas son parte fundamental de cualquier esquema de seguridad eficiente. Como
administradores, nos aminoran los riesgos, y nos permiten actuar de manera rápida y
acertada en caso de haber una emergencia de cómputo.
Como usuarios, nos indican la manera adecuada de usar un sistema, indicando lo que puede
hacerse y lo que debe evitarse en un sistema de cómputo, contribuyendo a que no seamos
“malos vecinos” de la red sin saberlo. El tener un esquema de políticas facilita grandemente
la introducción de nuevo personal, teniendo ya una base escrita y clara para capacitación;
dan una imagen profesional a la organización y facilitan una auditoria.
Los principales puntos que deben contener las políticas de seguridad son:
• Ámbito de aplicación
• Análisis de riesgos
• Enunciados de políticas
• Sanciones
• Sección de uso ético de los recursos de cómputo
• Sección de procedimientos para el manejo de incidentes
Al diseñar un esquema de políticas de seguridad, conviene dividir el trabajo en diferentes

políticas específicas a un campo, como son: cuentas, contraseñas, control de acceso, uso
adecuado, respaldos, correo electrónico, contabilidad del sistema, seguridad física,
personal, etc.
De acuerdo a ello, podemos tener de manera generalizada la siguiente clasificación de

políticas:
Políticas de cuentas: Estas establecen qué es una cuenta de usuario de un sistema de

cómputo, cómo está conformada, a quién puede serle otorgada, quién es el encargado de
asignarlas, cómo deben ser creadas y comunicadas, etc. Por ejemplo:
• Las cuentas deben ser otorgadas exclusivamente a usuarios legítimos

• Una cuenta deberá estar conformada por un nombre de usuario y su respectiva
contraseña
• El nombre de usuario de una cuenta deberá estar conformado por la primera letra de
su nombre y su apellido paterno.
Políticas de contraseñas: Son una de las políticas más importantes, ya que por lo general,
las contraseñas constituyen la primera y tal vez única manera de autenticación y, por tanto,
la única línea de defensa contra ataques. Éstas establecen quién asignará la contraseña, que
longitud debe tener, a qué formato deberá apegarse, como será comunicada, etc. Ejemplos:
• La longitud de una contraseña deberá siempre ser verificada de manera automática

al ser construida por el usuario. Todas las contraseñas deberán contar con al menos
siete caracteres
• Todas las contraseñas elegidas por los usuarios deben ser difíciles de adivinar. No
deben ser utilizadas palabras que aparezcan en el diccionario, secuencias conocidas
de caracteres, datos personales, ni acrónimos
• Está prohibido que los usuarios construyan contraseñas compuestas de algunos
caracteres constantes y otros que cambien de manera predecible y sean fáciles de
adivinar
• Los usuarios no deben construir contraseñas idénticas o muy parecidas a
contraseñas anteriores
Políticas de control de acceso: Especifican cómo deben los usuarios acceder al sistema,
desde dónde y de qué manera deben autentificarse. Ejemplos:
• Todos los usuarios deberán acceder al sistema utilizando algún programa que
permita una comunicación segura y cifrada
• Está prohibido acceder al sistema con una cuenta diferente de la propia, aún con la
autorización del dueño de dicha cuenta
• Si un usuario está fuera del sitio de trabajo, debe conectarse a una máquina pública
del sitio y, únicamente desde ésta, hacer la conexión a la computadora deseada
• Al momento de ingresar al sistema, cada usuario deberá ser notificado de la fecha,
hora y dirección desde la que se conectó al sistema por última vez, lo cual permitirá
detectar fácilmente el uso no autorizado del sistema
Políticas de uso adecuado: Especifican lo que se considera un uso adecuado o inadecuado

del sistema por parte de los usuarios, así como lo que está permitido y lo que está prohibido
dentro del sistema de cómputo.
Antes de diseñar el esquema de políticas de uso adecuado, conviene hacerse las siguientes
preguntas:
• ¿Se permite irrumpir en cuentas ajenas?

• ¿Se permite adivinar contraseñas?
• ¿Se permite interrumpir el servicio?
• ¿Puede leerse un archivo ajeno cuyos permisos ante el sistema incluyen el de lectura
para todos?
• ¿Puede modificarse un archivo ajeno cuyos permisos ante el sistema incluyen el de
escritura para todos?
• ¿Pueden los usuarios compartir sus cuentas?
• ¿Puede copiarse el software que no lo permita en su licencia?
• ¿Puede obtenerse una “licencia para hackear”?
La respuesta a todas estas preguntas debe ser negativa. Ya que existen dos enfoques: El
permisivo en el cual todo lo que no esté explícitamente prohibido está permitido y el
paranoico donde todo lo que no esté explícitamente permitido está prohibido. Cuál de las
dos elegir dependerá del tipo de organización y el nivel de seguridad que esta requiera.
Entonces tras haber aclarado estos últimos puntos, algunos ejemplos de este tipo de
políticas serían:
• Está terminantemente prohibido ejecutar programas que intenten adivinar las

contraseñas alojadas en las tablas de usuarios de máquinas locales o remotas.
• La cuenta de un usuario es personal e intransferible, por lo cual no se permite que

este comparta su cuenta ni su contraseña con persona alguna, aún si ésta acredita la
confianza del usuario
• Está estrictamente prohibido hacer uso de programas que explotan alguna
vulnerabilidad de un sistema para proporcionar privilegios no otorgados
explícitamente por el administrador
• No se permite bajo ninguna circunstancia el uso de cualquiera de las computadoras
con propósitos de ocio o lucro
Políticas de respaldos: Especifican qué información debe respaldarse, con qué

periodicidad, qué medios de respaldo utilizar, cómo deberá ser restaurada la información,
dónde deberán almacenarse los respaldos, etc. Ejemplos:
• El administrador del sistema es el responsable de realizar respaldos de la

información periódicamente, cada treinta días deberá efectuarse un respaldo
completo del sistema y cada día deberán ser respaldados todos los archivos que
fueron modificados o creados
• La información respaldada deberá ser almacenada en un lugar seguro y distante del
sitio de trabajo
• Deberá mantenerse siempre una versión reciente impresa de los archivos más
importantes del sistema
• En el momento en que la información respaldada deje de ser útil a la organización,
dicha información deberá ser borrada antes de deshacerse del medio
Políticas de correo electrónico: Establece tanto el uso adecuado como inadecuado del
servicio de correo electrónico, los derechos y obligaciones que el usuario debe hacer valer y
cumplir al respecto. Ejemplos:
• El usuario es la única persona autorizada para leer su propio correo, a menos que él
mismo autorice explícitamente a otra persona para hacerlo, o bien, que su cuenta
esté involucrada en un incidente de seguridad de cómputo
• Está estrictamente prohibido usar la cuenta de correo electrónico proporcionada por
la organización para propósitos ajenos a sus actividades laborales
• No se permite el uso de la cuenta de correo electrónico para suscribirse a listas
electrónicas de discusión de interés personal. El usuario deberá limitarse a estar
subscrito a las listas indicadas y aprobadas por la organización
Políticas de contabilidad del sistema: Establecen los lineamientos bajo los cuales pueden
ser monitoreadas las actividades de los usuarios del sistema de cómputo, así como la
manera en que debe manejarse la contabilidad del sistema y el propósito de la misma.
Ejemplos:
• Deberán ser registrados en bitácoras todos los comandos emitidos por todos los
usuarios del sistema, para propósitos de contabilidad
• Cada semana deberá hacerse el corte de contabilidad del sistema, cifrándose y
respaldándose la información generada en un dispositivo de almacenamiento
permanente
Para desarrollar las políticas de seguridad se necesita hacer un análisis de riesgo, el cual va
a ser el resultado de responder las siguientes preguntas:
¿Qué quiero proteger? Mis recursos: Personal, información, hardware, software,

documentación, consumibles, etc.
¿De quién necesito protegerlo? De cualquiera que constituya una amenaza, en cualquiera
de estos rubros:
• Acceso no autorizado: Utilizar recursos de cómputo sin previa autorización.

• Daño a la información: Modificación o eliminación de la información del sistema.
• Robo de información: Acceso a cierta información sin previa autorización.
• Divulgación de la información: Publicar detalles del sistema, como podrían ser las
contraseñas, secretos, investigaciones, etc.
• Negación del servicio: Obligar al sistema a negar recursos a usuarios legítimos.
¿Qué tantos recursos estoy dispuesto a invertir? Esto dependerá del presupuesto
disponible y de la importancia de la seguridad.
¿Cómo puedo/debo protegerlo? Cuales serán los mecanismos de infraestructura,

personal, programas, políticas, normatividad, asesoramiento externo, y programas entre
otros.
Antes de comenzar a desarrollar las políticas de seguridad, se tiene que preguntar:
• ¿Quién debe poder usar los recursos? Sólo personal autorizado: Estudiantes,
profesores, usuarios externos, investigadores, etc.
• ¿Qué constituye un uso adecuado de los recursos?
• ¿Qué actividades están permitidas?
• ¿Qué actividades están prohibidas?
• ¿Quién debe poder proporcionar acceso al sistema? Ya que si no se tiene control
sobre quién está dando acceso al sistema, tampoco se podrá tener control sobre
quién lo utiliza
• ¿Quién debe tener privilegios de administrador? Aquí debe utilizarse el principio
del mínimo privilegio: Es decir, proporcionar sólo privilegios suficientes para
ejecutar las tareas necesarias.
• ¿Cuáles son los derechos y responsabilidades de los usuarios?
• ¿Existen restricciones en cuanto al consumo de recursos?
• ¿Cuáles son?
• ¿Qué constituye un abuso en términos de desempeño del sistema?

• ¿Qué requerimientos deben cumplir las contraseñas de los usuarios?
• ¿Debe el usuario hacerse responsable de sus propios respaldos de información?
• ¿Puede el usuario divulgar información propietaria?
• ¿Qué tan privado es el correo electrónico de los usuarios?
• ¿Pueden los usuarios suscribirse a cualquier lista de discusión o grupo de noticias?
• ¿Puede un usuario falsificar correo?
• ¿Puede un usuario intentar adivinar contraseñas de sistemas, sean remotos o
locales?
• ¿Puede un usuario llevar a cabo actividades ilegales (fraude, difamación, etc.)?
¿Cuáles son los derechos y responsabilidades de los administradores?
• ¿Pueden monitorear o leer los archivos de los usuarios?

• ¿Tienen derecho a examinar el tráfico de una máquina en específico?
• ¿Tiene el derecho a examinar el tráfico de toda la red?
• ¿En qué grado pueden hacer uso de sus privilegios?
• ¿Qué tanto deberán respetar la privacía de los usuarios?
• ¿Cómo deben resguardar su contraseña?
• ¿Cómo deben manejar información sensitiva?
¿Cómo debe manejarse la información sensitiva? Es decir, debe evitarse que los
usuarios almacenen información valiosa en sistemas pocos seguros.
Ahora, es necesario tomar en cuenta diferentes escenarios, para contemplarlos a todos al

momento de crear nuestras políticas. Ya que tarde o temprano, todas las políticas serán
violadas. Por ejemplo hay que tomar en cuenta los siguientes puntos:
¿Qué puede llevar a que una política sea violada?
• Negligencia.
• Error accidental.
• Desconocimiento de la misma.
• Falta de entendimiento de la misma.
¿Qué debemos hacer si una política es violada?
• Investigar quién llevó a cabo esa violación

• Investigar cómo y por qué ocurrió esa violación
• Aplicar una acción correctiva o disciplinaria
¿Qué sucede si un usuario local viola las políticas de un sitio remoto?
• Debe haber acciones a seguir bien definidas con respecto a los usuarios locales
• Debe estarse bien protegido en contra de posibles acciones desde el sitio remoto
¿Cómo reaccionar ante un incidente de seguridad?
Para esto existen dos estrategias básicas:
Proteger y perseguir
o Su principal objetivo es proteger y preservar los servicios del sitio, y

restablecerlos lo más rápido posible
o Realizar acciones drásticas, tales como dar de baja a los servicios,

desconectar el sistema de la red, apagarlo, etc.
o Se utiliza cuando:
Los activos están bien protegidos
Se correo un gran riesgo debido a la intrusión
No existe la posibilidad o disposición para enjuiciar
Se desconoce la base del intruso
Los usuarios son pocos sofisticados y su trabajo es vulnerable
Los recursos de los usuarios son minados
Perseguir y enjuiciar
o Su objetivo principal es permitir que los intrusos continúen con sus actividades
en el sistema hasta que pueda identificarse a los responsables.
o Se utiliza cuando:
Los recursos están bien protegidos
Se dispone de respaldos confiables
El riesgo para los activos es mayor que el daño de esta y futuras
intrusiones
El ataque proviene de un sitio con el que guardamos cierta relación,
y ocurre con cierta frecuencia e intensidad
El sitio posee cierta atracción para los intrusos
El sitio está dispuesto a correr el riesgo a que se exponen los activos
al permitir que el ataque continúe
Puede controlarse el acceso al intruso
Se cuenta con herramientas de seguridad confiables
El personal técnico conoce a profundidad el sistema operativo y sus
utilerías
Existe disposición para la persecución por parte de los directivos
Existen leyes al respecto
En el sitio existe alguien que conozca sobre cuestiones legales [8]
2.3 Propuesta de un sistema de seguridad
Figura. 1 Diagrama para el análisis de un sistema de seguridad
Tal como puede visualizarse, en la figura 1, en el diagrama están plasmados todos los
elementos que intervienen para el estudio de una política de seguridad.
Se comienza realizando una evaluación del factor humano interviniendo, teniendo en

cuenta que éste es el punto más vulnerable en toda la cadena de seguridad, de los
mecanismos con que se cuenta para llevar a cabo los procesos necesarios mecanismos
técnicos, físicos ó lógicos, luego, el medio ambiente en que se desempeña el sistema, las
consecuencias que puede traer aparejado defectos en la seguridad pérdidas físicas, pérdidas
económicas, en la imagen de la organización, etc., y cuáles son las amenazas posibles.
Una vez evaluado todo lo anterior, se origina un programa de seguridad, que involucra los
pasos a tomar para poder asegurar el umbral de seguridad que se desea. Luego, se pasa al
plan de acción, que es cómo se va a llevar a cabo el programa de seguridad. Finalmente, se
redactan los procedimientos y normas que permiten llegar a buen destino.
Con el propósito de asegurar el cumplimiento de todo lo anterior, se realizan los controles y

la vigilancia que aseguran el fiel cumplimiento de los tres puntos antepuestos. Para asegurar
un marco efectivo, se realizan auditorias a los controles y a los archivos logísticos que se
generen en los procesos implementados de nada vale tener archivos logísticos si nunca se
los analizan o se los analizan cuando ya ha ocurrido un problema.
Con el objeto de confirmar el buen funcionamiento de lo creado, se procede a simular

eventos que atenten contra la seguridad del sistema. Como el proceso de seguridad que es
un proceso dinámico, es necesario realizar revisiones al programa de seguridad, al plan de
acción y a los procedimientos y normas. Estas revisiones, tendrán efecto sobre los puntos
tratados en el primer párrafo y, de esta manera, el proceso se vuelve a repetir.
Es claro que el establecimiento de políticas de seguridad es un proceso dinámico sobre el

que hay que estar actuando permanentemente, de manera tal que siempre estén
actualizadas; que, cuando se le descubran debilidades, éstas sean subsanadas y, finalmente,
que su práctica por los integrantes de la organización no caiga en desuso [9].
Capítulo 3
Software para la seguridad en cómputo
En la actualidad existen muchas herramientas de seguridad tanto en hardware como en
software, diseñadas específicamente para analizar la confiabilidad de un sistema y para
ofrecer cierto grado de seguridad a una red.
A continuación se nombran algunas herramientas de software para el monitoreo de

seguridad en los sistemas.
Las herramientas de seguridad a considerar para implementarse en un esquema de

seguridad pueden clasificarse de la siguiente forma:
• Para el manejo de contraseñas: anipasswd, passwd+, crack, Jhon The Ripper, S/Key
• Para el manejo de autenticación: Kerberos, SecureRPC
• Para el monitoreo de redes: Satan, ISS
• Para auditoria interna: COPS, Tigre, Tripwire
• Para control de acceso: TCP-Wrapper, PortSentry [10]
3.1 Programas de análisis de seguridad en cómputo
SATAN (Security Analysis Tool for Auditing Networks)
SATAN es una herramienta de búsqueda y generación automática de reportes acerca de las

vulnerabilidades de una red, la cual provee un excelente marco de trabajo para continuar
creciendo. Es conocido con dos diferentes nombres: SATAN (Security Analysis Tool for
Auditing Networks) lo cual significa herramienta de análisis de seguridad para la auditoria
de redes y SANTA (Security Análisis Network Tool For Administrators) que significa
herramienta de análisis de la seguridad en red para los administradores.
SATAN es un programa bajo UNIX que verifica rápidamente la presencia de

vulnerabilidades en sistemas remotos, ofrece una forma fácil de que el usuario normal
examine en corto tiempo la seguridad en red de los sistemas computacionales.
Las características y requerimientos de SATAN son:
• Está diseñado para sistemas UNIX.

• Debe ejecutarse a nivel sistema o con privilegios de root.
• Requiere de programas clientes WWW.
• Requiere de PERL.
SATAN consiste de un pequeño Kernel de PERL, junto con un conjunto de programas en C

para la verificación de la vulnerabilidad, así como un gran número de programas de soporte
en PERL para controlar las búsquedas, almacenar los resultados en los archivos de la base
de datos, generación de reportes y emisión de formas HTML. Con estos al ejecutarlos se
incluye un amplio número de documentos en HTML y tutórales. Tiene una interfaz fácil de
usarse, consiste de páginas de HTML usadas a través de un visualizador Web tal como
Netscape o Microsoft Internet Explorer, donde un usuario puede aprender rápida y
fácilmente a operarlo. Aún que SATAN esta disponible con unas pruebas de seguridad
ínter construidas, la arquitectura de SATAN le permite aún usuario agregar fácilmente
pruebas adicionales.
La contribución principal de SATAN es su novedosa visión de la seguridad, la cual

considera que la mejor forma de que un administrador puede asegurarla en su sistema es
mediante la consideración de cómo un hacker trataría de introducirse. Mediante el uso de
SATAN un hacker de cualquier parte del mundo puede verificar cada sistema en red de
Internet. Estos intrusos potenciales no tienen que ser brillantes, dado que SATAN es fácil
de usarse, ni tampoco deben tener una cuenta del sistema objetivo, o ser del mismo país, ya
que a nivel intermedio ofrece la conectividad de todo mundo. Incluso los hackers no
requieren conocer la existencia de los sistemas porque pueden usar como objetivo los
rangos de la red. Para administradores conscientes, SATAN permite establecer el grado de
seguridad de los hosts en una red. Sin embargo, dado que cada intruso en el mundo puede
identificar rápidamente los hosts vulnerables es necesario elevar los niveles de seguridad.
En realidad, la actividad criminal masiva así como el número de intrusos no se incrementó

debido a la aparición del programa. Por el contrario, el número de parches de seguridad
generados por los vendedores y las inspecciones de los usuarios si se incrementaron.
Desgraciadamente, se han agregado pocas búsquedas de vulnerabilidades adicionales a

SATAN desde sus primeras versiones. Los usuarios individuales han aumentado pruebas
adicionales que no han podido ser distribuidas masivamente.
Aunque existen más de 200 programas actualmente para buscar vulnerabilidades en red,
SATAN es el mejor de todos por qué es un programa libre y con características que lo
hacen sobresalir en el mercado. Por ejemplo, el programa ISS (Internet Security Scanner)
es un producto comercial que se anuncia con la capacidad de realizar la búsqueda de un
mayor número de vulnerabilidades, sin embargo no se dispone del código fuente. Fremont,
es otro programa sin costo, el cual lleva a cabo verificaciones de hosts y construye además
un mapa de los sistemas, sin embargo no realiza búsquedas de vulnerabilidades.
El interés de los clientes en la seguridad de sus sistemas se ha incrementado, obligando a

los vendedores a publicar boletines y parches que prevengan, cierren y documento en los
votos de seguridad localizados por SATAN. Los boletines también indican
recomendaciones de configuración y riesgos de instalar o ejecutar servicios o productos
[11].
Capítulo 3. Software para la seguridad en cómputo 23
COPS (Computer Oracle and Password System)
Esta herramienta fue desarrollada por Daniel Farmer y Eugene H. Spafford, en los
laboratorios COAST de la Universidad de Purdue. El paquete COPS (sistema de contraseña
y oráculo de computadora). Es una herramienta de seguridad para administradores de
sistema que permite examinar sistemas UNIX, con el fin de localizar un número conocido
de debilidades y problemas de seguridad, alertando al administrador sobre ellas, en algunos
casos puede corregir automáticamente estos problemas. Es un sistema modular, por cable,
de auditoria de sistemas de asado en una colección de scripts y programas en C, que puede
utilizarse para evaluar el estado de seguridad de casi cualquier sistema UNIX.
Incluye características para verificar contraseñas, archivos SUID y SGID, programas

protegidos y otros más [11].
El principal objetivo de cops es la detección de una gran variedad de posibles problemas de

seguridad particulares de Unix como pueden ser:
• Permisos de archivos, directorios y dispositivos del sistema

• Cuentas sin password
• Contenido, formato y seguridad de los archivos de grupos y password
• Los programas y archivos que corren en /etc/rc* y en la tabla de cron
• La existencia de archivos SUID propiedad de root, y sus características
• Verificación CRC de binarios
• ftp anónimo habilitado
• Posibles vulnerabilidades en los binarios [12]
CPM (Check Promiscuos Mode),
El programa CPM de la Universidad de Carnegie Mellon verifica cualquier interfaz de red

de un sistema para localizar alguna que trabajé en modo promiscuo, esto puede indicar que
un hacker ha violado el sistema y ha iniciado un programa para entrometerse en los
paquetes de red [11].
IFSTATUS
El programa IFSTATUS de Dave Curry puede verificar también cualquier interfase de red
de un sistema para localizar alguna que trabaje en modo promiscuo, con la diferencia de
estar diseñada para ser ejecutada por fuera del sistema [11].
El programa ifstatus puede correrse en los sistemas UNIX para identificar interfaces de red
que estén en depuración o en modo promiscuo. Las interfaces de red en estos modos
pueden ser una señal que un intruso está supervisando la red para robar passwords y otras
estaciones [13].
ISS (Internet Security Scanner)
Este programa del autor Christopher Klaus es un explorador de seguridad de multinivel del
mismo tipo que SATAN, que verifica un sistema UNIX en búsqueda de un número
conocido de huecos de seguridad, tales como los problemas en el sendmail, o de una
compartición de archivos NFS configurada impropiamente.[11]
Esta una herramienta de dominio público chequea una serie de servicios para comprobar el
nivel de seguridad que tiene esa máquina. ISS es capaz de chequear una dirección IP o un
rango de direcciones IP (en este caso se indican dos direcciones IP e ISS chequeará todas
las máquinas dentro de ese rango). El programa viene acompañado de dos utilidades que
son ypx y strobe, la primera nos permite la transferencia de mapas NIS a través de la red y
la segunda nos chequea y describe todos los puertos TCP que tiene la máquina que
chequeamos. Como podemos ver, con la primera herramienta es posible la transferencia de
los ficheros de "password" en aquellas máquinas que hayan sido configuradas como
servidores de NIS.
ISS se puede ejecutar con varias opciones y la salida se deja en un fichero. Además, si ha
podido traerse el fichero de "password" de la máquina chequeada creará un fichero aparte
con la dirección IP de la máquina [14].
ISS es un programa que interrogará a todas las computadoras dentro de un rango específico
de direcciones IP, determinando la postura de seguridad de cada una con respecto a varias
vulnerabilidades comunes del sistema. ISS está disponible de muchos sitios [15].
Merlín
Merlín fue desarrollado por CIAC y es una herramienta para la administración y realce de
las herramientas de seguridad existentes. Provee un front-end gráfico a muchas de las
populares herramientas, tales como SPI, Tiger, COPS, Crack y Tripwire. Merlín permite
que estas herramientas sean más fáciles de usar, mientras que al mismo tiempo extiende sus
capacidades [11].
Merlín también tiene como finalidad ocultar las unidades de la computadora para evitar que
otras personas manipulen tus archivos. La protección que ofrece es relativa, cualquier
PowerUser o incluso un estudiante avanzado, puede saltarse esta seguridad. Al cargarse el
programa, identifica las unidades que tiene su máquina y el tipo de dispositivo (disco duro,
CD-ROM), si aparece marcada la casilla que está junto al nombre de la unidad, quiere decir
que está "Visible" y que puedes explorar, borrar, mover, copiar, etc. [16].
SPI (Security Profile Inspector),
El Inspector del Perfil de Seguridad fue desarrollado en el Centro de Tecnología de la

Seguridad Computacionales CSTC, para proveer una suite de inspecciones de seguridad
para la mayoría de los sistemas UNIX con sólo tocar un botón. El producto de software SPI
está disponible libre de costo para toda organización, la cual puede definir las políticas de
redistribución a sus propias comunidades de usuarios [11].
3. 2 Integridad de datos
Tripwire
Este paquete de la Universidad de Purdue verifica los sistemas de archivos, y así, poder
usar las verificaciones de aquellos registros para descubrir cualquier cambio [11].
Tripwire verifica la integridad de archivos y directorios; es una utilidad que compara un

conjunto designado de archivos y directorios con la información almacenada en una base de
datos previamente generada. Cualquier diferencia es señalada por medio de una bandera y
se registra, incluyendo entradas agregadas o suprimidas. Cuando corre contra los archivos
del sistema sobre una base regular, Tripwire permite que descubrir los cambios en los
archivos del sistema críticos y toma inmediatamente medidas apropiadas de los daños.
Tripwire está disponible de muchos sitios [17].
Tiger
Es un paquete de scripts para monitorear sistemas y su seguridad. Es similar al COPS pero

significativamente más actualizado, fácil de configurar y usar. Con él es posible construir
una barrera de protección o detectar señales de ataque [11].
Este software fue desarrollado por la Universidad de Texas y está formado por un conjunto
de shell scripts y código C que chequean el sistema para detectar problemas de seguridad
de forma parecida a COPS. Una vez chequeado el sistema, se genera un archivo con toda la
información recogida por el programa. Tiger dispone de una herramienta (tigexp) que
recibe como parámetro dicho archivo y da una serie de explicaciones adicionales de cada
línea que generó el programa anterior. El programa viene con un archivo de configuración
donde es posible decirle qué tipo de chequeo se quiere realizar (podemos comentar las
operaciones más lentas y ejecutar éstas de forma menos continuada, mientras que las más
rápidas pueden ser ejecutadas más frecuentemente). Entre la información que chequea el
programa tenemos.
• Configuración del sistema

• Sistemas de ficheros
• Ficheros de configuración de usuario
• Chequeo de caminos de búsqueda
• Chequeo de cuentas
• Chequeo de alias
• Comprueba la configuración de ftp "anonymous"
• Chequeo scripts de cron
• NFS
• Chequeo de servicios en el fichero /etc/inetd.conf
• Chequeo de algunos ficheros de usuario (.netrc, .rhosts, .profile, etc) [18]

• Comprobación ficheros binarios (firmas). Para poder chequear éstos es necesario
disponer de un fichero de firmas
Watcher
Este paquete de Kenneth Ingham es una herramienta de monitoreo de sistemas expandible

que verifica un número de comandos especificados por el usuario, analizando la salida,
localizando elementos significativos y reportando estos al administrador del sistema [11].
Esta herramienta está diseñada para realizar copias de seguridad de ficheros y carpetas,
tanto en tu propio sistema como a través de red local, y comprimirlas después para reducir
el espacio que ocupen en disco. Incorpora una interfaz atractiva y práctica, en la que se
trabaja con perfiles ya preconfigurados, pero que puedes personalizar para adaptar a tus
gustos y necesidades. Tienes varios métodos de copia de seguridad (copia completa, sólo
actualizando los ficheros que hayan cambiado, etc.), soporte para copias un día a una hora
determinada, posibilidad de copias en red a través del protocolo TCP/IP, copias en
disquetes, discos ZIP, CD regrabables, etc. [19].
Ahora, veremos el firewall o muro de fuego, que construye una de las herramientas más
importantes de la seguridad de redes, pero también existen otros sistemas de protección
como son la criptografía y kerberos, sin embargo, éstas no son las únicas ya que en el
mercado existen un sin fin de ellas.
Así como existen herramientas de software para la auditoria y análisis de la seguridad en

redes, también hay herramientas de hardware para modificar parámetros en nuestro sistema
y con esto asegurarlo contra diversos ataques.
3.3 Firewalls
Básicamente un firewall es una computadora que se encarga de filtrar el tráfico de

información entre dos redes. El problema no es el controlar a los usuarios de un sistema
sino el prevenir accesos no autorizados de hackers que pudieran atacar la seguridad.
La ventaja de construir un firewall entre una red confiable y una insegura, es la de reducir
el campo de riesgo ante un posible ataque. Un sistema que no cuente con este tipo de
protección es propenso a sufrir un acceso no autorizado en cualquier nodo que compone la
red confiable. En el momento de proteger el sistema con un firewall, el peligro se reduce a
un solo equipo.
La mejor manera de proteger una red interna es vigilando y con un firewall bien diseñado
obtenemos esta ventaja. Este medio nos puede proveer información de los paquetes de
datos que entran a la red, los que son rechazados, el número de veces que tratan de entrar,
cuantas veces un usuario no autorizado ha querido penetrar en la red. Con esta información
se puede actualizar el sistema de seguridad y prevenir una posible violación al mismo.
Un firewall debe proveer los fundamentos de seguridad para un sistema, pero no es lo único
que necesitamos para proteger la red ya que no está exento de ser pasado por un hacker.
Esencialmente se instala entre la red interna y la Internet.
El firewall previene el acceso del resto del mundo al sistema y sobre todo a la información
que circula por la Intranet [11].
Un firewall combina hardware y software para proteger la red de accesos no autorizados y

existen tres tipos o niveles de firewall que son: el nivel red, el nivel de aplicaciones y el
nivel de circuito.
Un Firewall en Internet es un sistema o grupo de sistemas que impone una política de

seguridad entre la organización de red privada y el Internet. El firewall determina cual de
los servicios de red pueden ser accesados dentro de esta por los que están fuera, es decir
quien puede entrar para utilizar los recursos de red pertenecientes a la organización. Para
que un firewall sea efectivo, todo tráfico de información a través del Internet deberá pasar a
través del mismo donde podrá ser inspeccionada la información. El firewall podrá
únicamente autorizar el paso del tráfico, y el mismo podrá ser inmune a la penetración.
Desafortunadamente, este sistema no puede ofrecer protección alguna una vez que el
agresor lo traspasa o permanece entorno a este.
La política de seguridad crea un perímetro de defensa.
Esto es importante, ya que debemos de notar que un firewall de Internet no es justamente

un ruteador, un servidor de defensa, o una combinación de elementos que proveen
seguridad para la red. El firewall es parte de una política de seguridad completa que crea un
perímetro de defensa diseñada para proteger las fuentes de información. Esta política de
seguridad podrá incluir publicaciones con las guías de ayuda donde se informe a los
usuarios de sus responsabilidades, normas de acceso a la red, política de servicios en la red,
política de autenticidad en acceso remoto o local a usuarios propios de la red, normas de
dial-in y dial-out, reglas de encriptación de datos y discos, normas de protección de virus, y
entrenamiento. Todos los puntos potenciales de ataque en la red podrán ser protegidos con
el mismo nivel de seguridad. Un firewall de Internet sin una política de seguridad
comprensiva es como poner una puerta de acero en una tienda.
Beneficios de un firewall en Internet
Los firewalls en Internet administran los accesos posibles del Internet a la red privada. Sin
un firewall, cada uno de los servidores propios del sistema se expone al ataque de otros
servidores en el Internet. Esto significa que la seguridad en la red privada depende de la
"Dureza" con que cada uno de los servidores cuenta y es únicamente seguro tanto como la
seguridad en la fragilidad posible del sistema.
El firewall permite al administrador de la red definir un "choke point" (envudo),
manteniendo al margen los usuarios no-autorizados (tal, como., hackers, crakers, vándalos,
y espías) fuera de la red, prohibiendo potencialmente la entrada o salida al vulnerar los
servicios de la red, y proporcionar la protección para varios tipos de ataques posibles. Uno
de los beneficios clave de un firewall en Internet es que ayuda a simplificar los trabajos de
administración, una vez que se consolida la seguridad en el sistema firewall, es mejor que
distribuirla en cada uno de los servidores que integran nuestra red privada.
El firewall ofrece un punto donde la seguridad puede ser monitoreada y si aparece alguna
actividad sospechosa, este generara una alarma ante la posibilidad de que ocurra un ataque,
o suceda algún problema en el transito de los datos. Esto se podrá notar al acceder la
organización al Internet, la pregunta general es "si" pero "cuando" ocurrirá el ataque. Esto
es extremadamente importante para que el administrador audite y lleve una bitácora del
tráfico significativo a través del firewall. También, si el administrador de la red toma el
tiempo para responder una alarma y examina regularmente los registros de base. Esto es
innecesario para el firewall, desde que el administrador de red desconoce si ha sido
exitosamente atacado.
Figura. 2. Beneficios de un firewall de Internet
Con el paso de algunos años, el Internet ha experimentado una crisis en las direcciones,
logrando que el direccionamiento IP sea menos generoso en los recursos que proporciona.
Por este medio se organizan las compañías conectadas al Internet, debido a esto hoy no es
posible obtener suficientes registros de direcciones IP para responder a la población de
usuarios en demanda de los servicios. Un firewall es un lugar lógico para desplegar un
Traductor de Direcciones de Red (NAT) esto puede ayudar aliviando el espacio de
direccionamiento acortando y eliminando lo necesario para re-enumerar cuando la
organización cambie del Proveedor de Servicios de Internet (ISPs).
Un firewall de Internet es el punto perfecto para auditar o registrar el uso del Internet. Esto
permite al administrador de red justificar el gasto que implica la coneccion al Internet,
localizando con precisión los cuellos de botella potenciales del ancho de banda, y promueve
el método de cargo a los departamentos dentro del modelo de finanzas de la organización.
Un firewall de Internet ofrece un punto de reunión para la organización. Si una de sus
metas es proporcionar y entregar servicios información a consumidores, el firewall de
Internet es ideal para desplegar servidores WWW y FTP.
Finalmente, el firewall puede presentar los problemas que genera un punto de falla simple.
Enfatizando si este punto de falla se presenta en la conexión al Internet, aun así la red
interna de la organización puede seguir operando - únicamente el acceso al Internet està

perdido. La preocupación principal del administrador de red, son los múltiples accesos al
Internet, que se pueden registrar con un monitor y un firewall en cada punto de acceso que
posee la organización hacia el Internet. Estos dos puntos de acceso significa dos puntos
potenciales de ataque a la red interna que tendrán que ser monitoreados regularmente!
Limitaciones de un firewall
Un firewall no puede protegerse contra aquellos ataques que se efectúen fuera de su punto
de operación. Por ejemplo, si existe una coneccion dial-out sin restricciones que permita
entrar a nuestra red protegida, el usuario puede hacer una coneccion SLIP o PPP al Internet.
Los usuarios con sentido común suelen "irritarse" cuando se requiere una autenticación
adicional requerida por un Firewall Proxy server (FPS) lo cual se puede ser provocado por
un sistema de seguridad circunvecino que esta incluido en una conexión directa SLIP o PPP
del ISP.
Este tipo de conexiones derivan la seguridad provista por firewall construido

cuidadosamente, creando una puerta de ataque. Los usuarios pueden estar consientes de que
este tipo de conexiones no son permitidas como parte de integral de la arquitectura de la
seguridad en la organización.
Figura 3. Conexión circunvecina al firewall de Internet.
El firewall no puede protegerse de las amenazas a que esta sometido por traidores o
usuarios inconscientes. El firewall no puede prohibir que los traidores o espías corporativos
copien datos sensitivos en disquettes o tarjetas PCMCIA y substraigan estas del edificio.
El firewall no puede proteger contra los ataques de la "Ingeniería Social", por ejemplo un
Hacker que pretende ser un supervisor o un nuevo empleado despistado, persuade al menos
sofisticado de los usuarios a que le permita usar su contraseña al servidor del corporativo o
que le permita el acceso "temporal" a la red.
Para controlar estas situaciones, los empleados deberían ser educados acerca de los varios
tipos de ataque social que pueden suceder, y a cambiar sus contraseñas si es necesario
periódicamente.
El firewall no puede protegerse contra los ataques posibles a la red interna por virus
informativos a través de archivos y software. Obtenidos del Internet por sistemas operativos
al momento de comprimir o descomprimir archivos binarios, el firewall de Internet no
puede contar con un sistema preciso de rastreo de para cada tipo de virus que se puedan
presentar en los archivos que pasan a través de el.
La solución real esta en que la organización debe ser consciente en instalar software anti-
viral en cada despacho para protegerse de los virus que llegan por medio de disquettes o
cualquier otra fuente.
Finalmente, el firewall de Internet no puede protegerse contra los ataques posibles en la

transferencia de datos, estos ocurren cuando aparéntente datos inocuos son enviados o
copiados a un servidor interno y son ejecutados despachando un ataque.
Por ejemplo, una transferencia de datos podría causar que un servidor modificara los
archivos relacionados a la seguridad haciendo más fácil el acceso de un intruso al sistema.
Como nosotros podemos ver, el desempeño de los servidores Proxy en un servidor de
defensa es un excelente medio de prohibición a las conexiones directas por agentes
externos y reduce las amenazas posibles por los ataques con transferencia de datos [20].
3.4 Criptografía
Este es un medio para proveer seguridad a las transmisiones de datos. En Internet, la

información viaja por la red en forma de paquetes bajo el protocolo TCP/IP y algunos
hackers pudieran interceptarlos, esto es un peligro potencial de manera individual y
organizacional.
Cuando se obtiene acceso a estos paquetes, la comunicación entre dos nodos es insegura
por que existe una persona que puede recibir al mismo tiempo información confidencial.
Una manera de protección es la criptografía ya que el mensaje es codificado por medio de

un algoritmo y sólo puede ser leído o decodificado con el mismo algoritmo en el nodo
receptor. En otras palabras, el mensaje es oculto dentro de otro mensaje haciéndolo
imposible de leer para todos excepto para el receptor. Al algoritmo de encriptación se el
conoce como llave secreta o pública según sea el caso [11].
En el mundo real, si una universidad quiere proteger los expedientes de sus alumnos los
guardará en un armario ignífugo, bajo llave y vigilado por guardias, para que sólo las
personas autorizadas puedan acceder a ellos para leerlos o modificarlos; si queremos
proteger nuestra correspondencia de curiosos, simplemente usamos un sobre; si no
queremos que nos roben dinero, lo guardamos en una caja fuerte. Lamentablemente, en una
red no disponemos de todas estas medidas que nos parecen habituales: la principal forma de
protección va a venir de la mano de la criptografía.
El cifrado de los datos nos va a permitir desde proteger nuestro correo personal para que
ningún curioso lo pueda leer, hasta controlar el acceso a nuestros archivos de forma que
sólo personas autorizadas puedan examinar (o lo que quizás es más importante, modificar)
su contenido, pasando por proteger nuestras claves cuando conectamos a un sistema remoto
o nuestros datos bancarios cuando realizamos una compra a través de Internet. Hemos
presentado con anterioridad alguna aplicación que utilizan de una u otra forma en la
criptografía para proteger nuestra información; aquí intentaremos dar unas bases teóricas
mínimas sobre términos, algoritmos, y funciones utilizadas en ese tipo de aplicaciones.
En 1949, Shannon logró cimentar la criptografía sobre unas bases matemáticas,

comenzando el período de la criptografía científica. Poco más de diez años después se
comenzó a estudiar la posibilidad de una comunicación secreta sin que ambas partes
conocieran una clave común (hasta ese momento la existencia de dicha clave era la base de
toda la seguridad en el intercambio de información), de forma que esos estudios dieron
lugar a diversos artículos sobre el tema durante la década de los setenta. Finalmente, en
1976 Diffie y Hellman publicaron sus trabajos sobre criptografía de clave pública, dando
lugar al período de criptografía de clave pública, que dura hasta la actualidad [21].
Kerberos
Kerberos es un sistema de autentificación en red desarrollado por el MIT. Permite a los

usuarios comunicarse sobre las redes computacionales enviando su identificación a los
otros, previniendo la escucha indiscreta. Tiene como principio el mantener un servidor de
la red seguro o confiable ya que sería imposible asegurar todos.
Provee confidencialidad de la información usando la encriptación y también una

autentificación en tiempo real dentro de un ambiente distribuido inseguro.
El modo de kerberos esta basado en un protocolo de autentificación a través de un servidor

confiable ya que este sistema considera que toda la red es una región de riesgo grande
excepto por éste servidor. Trabaja proporcionando a los usuarios y a los servicios boletos
que pueden usar para identificarse a sí mismos, además de llaves encriptadas secretas
proporcionando cierta seguridad en la comunicación con los recursos de la red [11].
Durante 1983 en el M.I.T. (Massachussetts Institute of Technology) comenzó el proyecto

Athena con el objetivo de crear un entorno de trabajo educacional compuesto por estaciones
gráficas, redes de alta velocidad y servidores; el sistema operativo para implementar este
entorno era Unix 4.3BSD, y el sistema de autenticación utilizado en el proyecto se
denominó Kerberos en honor al perro de tres cabezas que en la mitología griega vigila la
puerta de entrada a Hades, el infierno. Hasta que se diseñó Kerberos, la autenticación en
redes de computadores se realizaba principalmente de dos formas: o bien se aplicaba la
autenticación por declaración (Authentication by assertion), en la que el usuario es libre de
indicar el servicio al que desea acceder (por ejemplo, mediante el uso de un cliente
determinado), o bien se utilizaban contraseñas para cada servicio de red.
Evidentemente el primer modelo proporciona un nivel de seguridad muy bajo, ya que se le

otorga demasiado poder al cliente sobre el servidor; el segundo modelo tampoco es muy
bueno: por un lado se obliga al usuario a ir tecleando continuamente su clave, de forma que
se pierde demasiado tiempo y además la contraseña está viajando continuamente por la red.
Kerberos trata de mejorar estos esquemas intentando por un lado que un cliente necesite
autorización para comunicar con un servidor (y que esa autorización provenga de una
máquina confiable), y por otro eliminando la necesidad de demostrar el conocimiento de

información privada (la contraseña del usuario) divulgando dicha información.
Kerberos se ha convertido desde entonces en un referente obligatorio a la hora de hablar de

seguridad en redes. Se encuentra disponible para la mayoría de sistemas Unix, y viene
integrado con OSF/DCE (Distributed Computing Environment). Está especialmente
recomendado para sistemas operativos distribuidos, en los que la autenticación es una pieza
fundamental para su funcionamiento: si conseguimos que un servidor logre conocer la
identidad de un cliente puede decidir sobre la concesión de un servicio o la asignación de
privilegios especiales. Sigue vigente en la actualidad (en su versión V a la hora de escribir
este trabajo), a pesar del tiempo transcurrido desde su diseño; además fue el pionero de los
sistemas de autenticación para sistemas en red, y muchos otros diseñados posteriormente,
como KryptoKnight , SESAME o Charon se basan en mayor o menor medida en Kerberos.
El uso de Kerberos se produce principalmente en el login, en el acceso a otros servidores

(por ejemplo, mediante rlogin) y en el acceso a sistemas de ficheros en red como NFS. Una
vez que un cliente está autenticado o bien se asume que todos sus mensajes son fiables, o si
se desea mayor seguridad se puede elegir trabajar con mensajes seguros (autenticados) o
privados (autenticados y cifrados). Kerberos se puede implementar en un servidor que se
ejecute en una máquina segura, mediante un conjunto de bibliotecas que utilizan tanto los
clientes como las aplicaciones; se trata de un sistema fácilmente escalable y que admite
replicación, por lo que se puede utilizar incluso en sistemas de alta disponibilidad [22].
S/KEY
S/KEY es un esquema de degeneración de contraseña de uso temporal desarrollado por

Bellcore y que no requiere hardware adicional. Este programa se puede obtener vía Internet
[11].
S/key es una autentificación de contraseña usada una sola vez, implementada inicialmente
usando DES como algoritmo de calculo. Este proceso era lento en los sistemas 8088
disponibles en ese tiempo, y se usaba un archivo encriptado de contraseña usadas una sola
vez en lugar de computarlas conforme fuera necesario. El uso de este archivo encriptado
introdujo otros problemas de seguridad, que fueron abordados pasando a un sistema basado
en el algoritmo de compendio de mensajes.
PGP (Pretty Good Privacy),
PGP (Pretty Good Privacy) se trata de un proyecto iniciado por Phill Zimmerman en 1993,
cuando se carecía de herramientas sencillas pero a la vez potentes que permitiesen a los
usuarios “comunes” hacer uso de una criptografía seria.
Con el tiempo PGP se ha convertido en uno de los mecanismos más populares para utilizar
criptografía, tanto por usuarios particulares como grandes empresas. Se ha publicado su
código fuente, y se permite su uso gratuitamente para fines no comerciales.
Se trata ya de un estándar internacional, RFC 2440, y dispone de numerosas aplicaciones

(codificación de almacenamiento, codificación automática de tráfico TCP/IP, etc).
Principalmente, intentaré explicar en este texto en qué consiste PGP, y sus dos funciones
originales y más importantes: asegurar la confidencialidad de un texto, y la autentificación
de un emisor frente a su receptor (firma digital) [11].
PGP es un sistema de protección de E-mail y de archivos de datos, que proporciona una

comunicación segura a través de canales inseguros. Fue desarrollado en 1991 por Phill
Zimmermann, con el fin de otorgar confidencialidad y autentificación. Es decir, sólo
aquellos que deben recibir un mensaje pueden leerlo y el origen de un mensaje es
comprobable. Permite una administración de llaves además de la compresión de datos. Es
usado en las firmas digitales.
Este sistema se justifica debido a las siguientes razones:
• Si se protege el correo en papel usando sobre, ¿Por qué no el electrónico?

• No se necesita ser un criminal para querer disfrutar del derecho a la privacidad.
• El fisgoneo en Internet es cada día más sencillo. [23]
SSH (Secure Shell)
Es una alternativa para tratar con vulnerabilidades de fase por ser un programa
recientemente introducido. Tiene reemplazos para rlogin, remsh y rcp pero no requiere el
overhead de kerberos, y ofrece más altos niveles de seguridad criptográfica. Además, puede
ser usado para mejorar la seguridad en X Windows.
El programa SSH protege contra el engaño de IP (IP spoofing), el ruteo de origen IP (IP
source routing), el engaño de DNS (DNS spoofing), la corrupción de datos en una conexión
y los ataques de autentificación X [11].
Actualmente las redes de computadoras son los medios digitales más usados en todos los
ámbitos de la sociedad para la transferencia de información. Normalmente estos medios se
encuentran en redes públicas, por lo cual están expuestas a intervenciones de una u otra
forma. Cuando se realiza una conexión a un servidor remoto usando por ejemplo el
comando telnet o ftp, el login(usuario) y password(contraseña) son transmitidos en la red de
forma clara, lo cual representa un gran riesgo si llega a existir sobre la red un programa que
capture la información, basándose en el modo promiscuo de las redes ethernet
(comúnmente llamado sniffer), ocasionado obtener tanto el login como el password y
pudiendo posteriormente irrumpir en el servidor con esta información.
Este tipo de comunicación en claro se muestra en la Figura 4.

Figura 4. Conexión a un servidor remoto usando por ejemplo el comando telnet o ftp.
Este tipo de problemáticas ha llevado al diseño de herramientas que permitan evitar estas
situaciones siendo el caso de Secure Shell (ssh), desarrollado por Tatu Ylonen en la
Universidad Tecnológica de Helsinki en Finlandia y OpenSSH, que nace del proyecto de un
sistema operativo orientado con la filosofía de la seguridad en mente como lo es OpenBSD.
Secure Shell y OpenSSH permiten realizar la comunicación y transferencia de información
de forma cifrada proporcionando fuerte autenticación sobre el medio inseguro.
Este tipo de conexión se muestra en la Figura 5.
Figura 5. Conexión cifrada
Permiten realizar la comunicación y transferencia de información de forma cifrada. Como vemos

Secure Shell (ssh) es un programa que permite realizar conexiones entre máquinas a través
de una red abierta de forma segura, así como ejecutar programas en una máquina remota y
copiar archivos de una máquina a otra. Tal y como se explica en el RFC de Secure Shell:
"SSH(Secure Shell) es un programa para conectarse a otros equipos a través de una red,
para ejecutar comandos en una máquina remota y para mover archivos de una máquina a
otra. Proporciona una exhaustiva autenticación y comunicaciones seguras en redes no
seguras" Ssh provee fuerte autenticación y comunicación segura sobre un canal inseguro y
nace como un reemplazo a los comandos telnet, ftp, rlogin, rsh, y rcp, los cuales
proporcionan gran flexibilidad en la administración de una red, pero sin embargo, presenta
grandes riesgos en la seguridad de un sistema. Adicionalmente, ssh provee seguridad para
conexiones de servicios X Windows y envío seguro de conexiones arbitrarias TCP. Secure
Shell admite varios algoritmos de cifrado entre los cuales se incluyen:
• Blowfish
• 3DES
• IDEA
• RSA
La ventaja más significativa de ssh es que no modifica mucho las rutinas. En todos los
aspectos, iniciar una sesión de ssh es tan sencillo como iniciar una sesión de telnet. Tanto el
intercambio de llaves, la autenticación, así como el posterior cifrado de sesiones son
transparentes para los usuarios.
¿De que Previene Secure Shell?
Debido a la promiscuidad de la interfaz ethernet, se genera una problemática sobre los

siguientes servicios de red usados en la actualidad, tales como:
• telnet
• ftp
• http
• rsh
• rlogin
• rexec
Ello nos representa un problema importante, ya que, incluso en un entorno de red cerrado,
debe existir como mínimo un medio seguro para poder desplazar archivos, hacer copia de
archivos, establecer permisos, ejecutar archivos, scrips, etc, a través de medios seguros. Por
ello para evitar que determinadas personas capturen el tráfico diario de la red, es
conveniente instalar el Secure Shell (SSH). Entre los ataques más comunes que nos
previenen Secure Shell están:
• Sniffering(Captura de trafico)
• IP Spoofing
• MACpoofing
• DNS Spoofing
• Telnet Hickjacking
• ARP Spoofing
• IP Routing Spoofing
• ICMP Spoofing [24]
SSL (Secure Sockets Library)
Otra forma de tratar con las vulnerabilidades de la fase 1, localizados por SATAN es SSL.
La Librería de Sockets Seguros (Secure Sockets Library) fue introducida originalmente por
Roberto, encargado de la seguridad en los visualizados de Web mediante la encriptación
de conexiones http, sin embargo con el paso del tiempo ha sido considerada como un medio
para dar seguridad a los servicios en general de internet.
SSL usa la tecnología de llave pública para negociar una llave de sesión y un algoritmo de
encriptación entre el cliente y el servidor. La llave pública es almacenada en un certificado
X.509 que soporta una firma digital de una tercera parte confiable, tal como la corporación
RSA.
SSL lleva los detalles de la encriptación y autentificación dentro de los llamados a la

librería de sockets, permitiendo la implantación de programas de internet mucho más fácil.
Comparativamente la implantación de un servidor SSL es completamente más fácil que la

de un servidor de Kerberos.
Desde el punto de vista del usuario, SSL no requiere la participación activa de un KDC
(servidor de llaves), dado que las firmas digitales se hacen fuera de línea. Así la conexión
de red es una transacción de dos partes, más que una transacción entre tres partes. Tanto el
cliente como el servidor pueden ser autentificados, aunque los clientes visualizadores
Netscape actuales usen sólo la autentificación del servidor. El protocolo SSL negocia un
algoritmo de encriptación al inicio de la conexión tales como: DES, triple DES, IDEA, RC4
y RC2, junto con MD5 que son promovidos en las implantaciones comunes [11].
SOCKSD
Es una técnica de encapsulación IP que permite las conexiones TCP, usan un servidor
Proxy para completar una conexión. Dando a los usuarios la oportunidad de usar
convenientemente los servicios de internet a través de un gateway, sin darse cuenta que se
le está cruzando.
Socksd es frecuentemente usado para convertir tanto a una estación de trabajo UNIX con
conexión a internet, como una conexión de red interna de una compañía en un sistema de
firewall.
La verificación de SATAN de un sistema firewall indicará frecuentemente la presencia de

un socksd. Mientras que no se han encontrado vulnerabilidades en el socksd, si este es
propiamente configurado, el descubrimiento de SATAN de un socksd puede indicar que el
sistema no sólo es un host conectado, sino un firewall [11].
Normalmente, un telnet de un host A a un host B realiza un connect directamente entre dos

direcciones IP usando las tablas de ruteo estándar.
Cuando el telnet se realiza mediante sockets, primero verifica si la dirección destino del
host B es directamente accesible. Si es así, se sigue el proceso estándar de conexión. Si no
es así, se hace referencia a dos variables de ambiente SOCKS_NS y SOCKS_SERVER,
para ayudar a resolver primero el nombre del dominio de dentro de la dirección IP, y
después identificar la dirección IP del servidor que está corriendo como un servidor proxy
socksd.
Después encapsula los paquetes TCP de acuerdo al protocolo de sockets, el cual se ejecuta
en un sistema de gateway y tiene conexión directa con el sistema destino.
El servidor de sockets abre una conexión y empieza actuar como un salto intermedio en la
conexión [25].
Capítulo 4
Seguridad en la UJAT
Dentro de la Universidad Juárez Autónoma de Tabasco, el departamento de redes y
telecomunicaciones es el encargado de los aspectos relacionados con la seguridad. Ahí se
ubica la infraestructura y los recursos humanos que administran los principales servicios
de cómputo: telefonía, redes internas, Internet 2, videoconferencias, base de datos,
sistemas administrativos, sistemas escolares y los servicios que se implementan debido a la
creciente demanda del uso de nuevas tecnologías.
Este departamento inicio sus operaciones en 1994, brindando los servicios de Internet y de
redes locales para los centros de cómputo existentes. La cobertura de los servicios se
extendió, los servicios crecieron aumentando la cantidad de servidores e infraestructura
existente. A la fecha se cuenta con una funcionalidad similar a la de las principales
universidades del país.
El mayor crecimiento de estos servicios se dio en los últimos 3 años, siendo muy
importantes como los sistemas de calificaciones y el de recursos humanos. Al mismo
tiempo se dieron los primeros pasos en seguridad, empezando por las configuraciones de
los servidores. Posteriormente se realizaron las primeras adecuaciones sobre los equipos de
ruteo y finalmente después de una serie de evaluaciones se adquirió un firewells o corta
fuegos. Lo anterior completo una primera etapa, sin embargo para conformar un esquema
de seguridad robusto son necesarias mas acciones así como una mayor infraestructura.
Hasta este punto solamente se puede controlar el tráfico entre la red UJAT y las redes
externas. Por este motivo se comenzó a planear un esquema mas elaborado que diera
protecciones a ciertas redes internas, como las de las bases de datos, e incluyera equipos de
monitoreo en puntos clave de la red interna. Por ultimo se realizo una adecuación del
personal para asignarle a dicho personal las tareas relativas a la seguridad, los primeros
pasos fueron el diseño y capacitación.
Los trabajos y experiencias realizados permitieron una participación activa de la UJAT

dentro de una organización regional con la finalidad de tratar los asuntos de seguridad de
las instituciones participantes. Esta organización es la ANUIES (Asociación Nacional de
Universidades e Instituciones de Educación Superior) en su sección correspondiente a la
región Sur-Sureste.
Entre las secciones mas recientes se encuentran la formación de un portal de soporte a los
servicios que ofrece el departamento de redes y telecomunicaciones, dicho portal incluye la
sección correspondiente a la seguridad.
Este podrá dar a poyo a incidentes de forma inmediata, siendo atendidos los problemas por
el personal de la UJAT. Las relaciones con otras organizaciones relacionadas con la
seguridad permitirán una cobertura mayor, así como el intercambio de experiencias con
otras instituciones.
Un área en la que es necesario trabajar es la de la reglamentación y normas. Esto no

solamente para los fines de operaciones de los servicios, también es necesario para la
operación de otras normatividades como las de los reglamentos de control escolar de
adquisición de bienes, de proyectos de investigación, por mencionar algunos.
Dos reglamentaciones son de importancia relacionadas con la cobertura del departamento

de redes y de la dependencia de Cómputo Universitario en general: la reglamentación de
centros de cómputo y las políticas de seguridad en cómputo. En el presente trabajo
solamente se trataran aspectos y propuestas relacionadas con las políticas de seguridad.
La implementación de políticas de seguridad en cómputo permite normar el uso adecuado

de los recursos tanto materiales como humanos con los que se cuente. Tienen la intención
de brindar un servicio adecuado a la orientación académica y de investigación de nuestra
institución. Diversos documentos de seguridad recomiendan inclusive que el diseño y
configuración de los equipos de seguridad, se den de acuerdo a la normatividad existente.
Cabe señalar la importancia la participación del personal del departamento, profesores y de

los alumnos en los aspectos relacionados con la seguridad. Primeramente porque son temas
de importancia en todos los sistemas de computo y redes, además por que el diseño e
implementación de mecanismos y normas de seguridad tienen que ser realizados en gran
parte por personas de la institución, no existe una implementación única que sirva para
todos los casos, cada organización tienen sus características y necesidades propias.
En la actualidad, la división académica de ciencias básicas, cuenta con servicios de

seguridad en los centros de cómputo. La mayoría están a cargo del administrador como son:
los equipos de conectividad ó swich inteligentes que se utilizan para la detección de
intrusos y el control de virus la Internet, el firewall que sirve para bloquear todas las
direcciones IP no necesarias para la institución y por ultimo los antivirus que funcionan
automáticamente en cada equipo y es responsabilidad de la población universitaria hacer
uso de ello.
Además que se cuenta con la colaboración de una empresa destinada a brindarle servicios
de Internet a nuestra universidad los cuales son específicamente académicos.
De manera general se realizo una encuesta de campo contando con la colaboración de todo
el alumnado, personal académico y administrativos de nuestra unidad, con la finalidad de
Capítulo 4. Seguridad en la UJAT 39
captar las impresiones que tienen los usuarios con respecto, a los servicios de redes y de
seguridad, con que cuenta la ujat.
Se pregunto acerca de las herramientas que existen para resguardar la seguridad de las
redes y telecomunicaciones (Ver Fig. 6). Y con un amplio porcentaje se noto el
desconocimiento por parte de los usuarios, una parte de la población contestó
afirmativamente, otras que los antivirus, algunas otras que sabían más o menos y un
número más pequeño se abstuvo en contestar la pregunta.
78% No
Si
Antivirus
1% Mas o menos
3% 15% Abstención.
3%
Fig. 6 como usuarios de los servicios de redes de nuestra institución, ¿Sabe usted qué herramientas existen
para resguardar la seguridad de las redes y telecomunicaciones?
Como algunos usuarios contestaron afirmativamente a la pregunta anterior. Preguntamos si

tenían conocimiento si nuestra institución contaba con algún tipo de seguridad por ellos
antes mencionado. (Ver Fig. 7) A lo que la mayor parte de la población universitaria negó,
saber la existencia de métodos de seguridad implementados por parte de la institución,
otros en cambio contestaron afirmativamente y un grupo más pequeño se abstuvo en
contestar.
3%
21%
No
Si
abstención
76%
Fig. 7 ¿Sabe si nuestra universidad cuenta con algunas de las anteriores?
Se realizaron algunas preguntas con respecto a los problemas que existen en la seguridad de
nuestra red-UJAT. (Ver Fig. 8) La cual consistía en el conocimiento por parte de los
usuarios, si sabían, a que se referían dichos problemas en nuestras redes. Lo que nos llevo
a una opinión casi dividida por parte de todos los usuarios, con una mínima diferencia en
los porcentajes entre los que si saben a que se refieren los problemas de la seguridad en
nuestras redes y en los que contestaron negativamente. Quedando un pequeño porcentaje
de personas encuestadas que nos señalaron que los problemas de seguridad se debían a
robos de información, a ataques relacionados con los virus, otros que conocían muy poco
acerca de este tema y por ultimo con un porcentaje menor se abstuvieron a contestar.
3% No
3%
Si
2%
42% Abstención
5%
Robos de
informacion
45%
Virus
Poco
Fig. 8 ¿Conoce usted a qué se refieren los problemas de seguridad en redes?

Esto me llevo a la siguiente pregunta en la que les pregunte si tenían conocimiento de

algún caso en la cual la seguridad de nuestra institución hubiera estado implicada, (Ver Fig.
9) a la que la mayor parte de nuestros usuarios, contestaron que no y un grupo mas
pequeños contestaron afirmativamente y que se debía al robo de información, al ataque de
virus y al ajuste de calificaciones por personas no autorizadas a nuestra institución. Por
otra parte con un porcentaje menor de personas se abstuvieron en contestar la pregunta.
5%
26% No
Si
Abstención
69%
Fig. 9 ¿Tiene conocimiento de algún caso de problemas de seguridad en nuestra institución?
En cuanto a las mejoras que se deban implementar, para solucionar las fallas de seguridad
en nuestras redes, (Ver Fig. 10) las respuestas fueron muy diversas. Desde contratar
personal y capacitarlos en el área de seguridad, pasando por dar a conocer los reglamentos
de seguridad, hasta mantener vigilados los sistemas de redes que permitan optimizar el
servicio.
No sabe.
Contratar personal y capacitarlos en seguridad.
Instalar actualizaciones de antivirus e instalar firewall.
Implementar nueva tecnología.
Dar a conocer los reglamentos.
Rapidez en la Internet.
Implementar otros metodos de seguridad.
Mantener vigilados los sistemas de redes que permitan optimizar el servicio.
Abstención.
Otros.
12%
30%
13%
4%
2% 13%
8% 11%
2%
5%
Fig. 10 ¿Qué mejoras cree que se deban implementar para solucionar dichas fallas en seguridad en redes?
Al referirnos al tema de las reglamentaciones de centros de computo, de seguridad en

redes y telecomunicaciones de la ujat. (Ver Fig. 11) La mayoría de los administrativos,
alumnos y profesores incluyendo a algunos administradores de los centros de cómputo,
comentaron no tener conocimiento si existe algún reglamento respecto a estos temas,
algunos otros contestaron tener poco conocimiento de los reglamentos de centros de
cómputo y nada más, otros más contestaron tener solo algunos conocimientos de ellos.
8%
13%
No
Si
Algunos
79%
Fig. 11 ¿Conoce las reglamentaciones actuales referentes a centros de computo y seguridad en redes y
telecomunicaciones de la UJAT?
Observamos sobre la marcha de nuestra investigación, que la mayoría de los usuarios no

cuentas con otros servicios de redes, aparte de los que les es proporcionado por la UJAT.
(Ver Fig. 12) Otros con un porcentaje menor de respuesta utilizan otros servicios, ya que
tienen la necesidad de usarlos, como son: profesores y administrativos. Y una mínima
cantidad de usuarios se negaron en contestar.
Ningun otro.
15% 4%
Abstencion.
81% FTP,TELNET,
SSH, DESKTOT
Remoto
Fig. 12 ¿Qué otros servicios de redes utiliza además de la consulta de paginas Web o el correo electrónico
institucional UJAT?
Cuando se les cuestiono si contaban con algún requerimiento especial para algunos
servicios de redes como son: Telecomunicaciones, video conferencias, sesión remota y
transferencia de archivos. (Ver Fig. 13) La mayoría contesto con una negativa ya que solo
hacían uso de la red, para la investigación y el correo. En cuanto a los que contestaron
afirmativamente solo se debe a una mínima parte de los usuarios por ser parte de la plantilla
que conforman el profesorado y de los administradores del servicio.
16%
No
Si
84%
Fig. 13 ¿Cuenta con algún requerimiento especial para algunos servicios de redes? Como son:
telecomunicaciones, video conferencias, sesión remota y transferencia de archivos FTP.
En cuanto a la utilización del antivirus institucional, (Ver Fig. 14) la mayor parte de la
población universitaria se encuentra dividida con respecto a este punto con un 47 % que si
hace uso del antivirus y el 44% de esa misma población que no lo utiliza por diferentes
razones y solo un 9 % no sabe si tiene la UJAT.
No
44% 47% Si
No sabe si tiene
9%
la UJAT
Fig. 14 ¿Utiliza el antivirus que proporciona la universidad?
De manera general obtuvimos una opinión, acerca del servicio y preguntamos que tan
eficiente les resultaba el servicio de Internet en nuestra red. (Ver Fig. 15)Las respuestas
fueron muy diversas partiendo desde bueno, regular, pésimo y muy deficiente. Las
respuestas más sobresalientes fueron; en primer lugar. Bueno con un 24 % y regular con un
26 %.
Bueno.
Muy bueno.
8% 3% 21% Regular.
12%
5% Lenta.
Muy lenta.
26% 24% Pesimo.
1%
Deficiente.
Muy deficiente
Fig. 15 De manera general, desde el punto de vista del servicio. ¿Qué tan eficiente es el servicio de Internet de
nuestra red?
Desde luego hemos cuestionado a todos los usuarios acerca del desempeño de su PC ó
estación de trabajo (Ver Fig. 16) y las respuestas fueron muy diversas, pero las respuestas
mas sobre salientes son. En buen estado con un 33% y regular con un 32% según los
encuestados.
En buen estado.
Muy bien.
6% 9%
33% Deficiente.
Muy deficiente.
32% Regular.
2% 11% 7%
No sabe.
Muy lenta.
Fig. 16 ¿Cómo se encuentra tu equipo de computo (PC o estación de trabajo) en cuanto al desempeño?
Por otra parte todos desean o consideran necesario la implementación de nuevas

tecnologías en equipos de cómputo y de redes. (Ver Fig. 17)
No
5%
Si
No
Si
95%
Fig. 17 ¿Consideras que es necesario la implementación de nuevos equipos de computo o de redes?
En nuestra institución existen ciertas restricciones para páginas Web de contenido no

académico, como lo son las páginas para adulto, para bajar música, de entretenimiento etc.
(Ver Fig. 18) Al preguntar si sabia el usuario de este tipo de restricciones la mayoría de los
encuestados negó saber la existencia, a pesar de que hacen uso de la Internet y solo un
grupo considerado de usuarios declararon saber de las restricciones que aplica la
institución.
29%
Si
No
71%
Fig. 18 ¿Sabe si existen restricciones para páginas Web en cuanto a contenido?… (Por ejemplo paginas
para adultos, de entretenimiento, etc.)
Por ultimo se cuestiono sobre los servicios de red (A) y el estado de seguridad (B) que
guarda la institución en cuanto al servicio que le brinda a la comunidad universitaria. (Ver
Fig. 19 La mayoría de los usuarios consideran que el servicio es muy malo con un 61 % y
el estado de seguridad de la misma manera lo califican de malo con 58 %, con un 19 % de
regular y de bueno con 13 % y 16 %. Respectivamente
7%
13% pesimo
Bueno.
Regular.
61% 19%
Malo.
7%
16% pesimo
Bueno.
Regular.
58%
19% Malo.
Fig. 19 Como consideras los servicios de red (Bueno, Malo, Regular, Pésimo) y el estado de seguridad
(Bueno, Malo, Regular, Pésimo)
En conclusión ha esta encuesta de campo, nos damos cuenta que no existe ningún interés
por mantener la seguridad por parte de los administrativos y por la población universitaria.
Ya que no existe ningún reglamento en cuanto a la seguridad de la red y que necesitamos
implementar la cultura de la seguridad para proteger nuestra información.
Ya que sino existen normas de seguridad no habrá ó existirá ninguna infracción. Para
aquellos que las violen y sino existe ninguna infracción no puede levantarse ninguna
sanción. La mayoría de los usuarios desconocen las normas y reglamentos en cuanto a
estos temas, la reglamentación elimina las discrepancias entre lo que el usuario y el
administrador consideran permitido.
Lo que falta es definir las sanciones, quien las supervise y quien las aplique. La
reglamentación no va a resolver todos los problemas pero si va hacer que todos los
servicios operen eficientemente.
Capítulo 5
Seguridad en otras instituciones
Tomando en cuenta la preocupación por la seguridad de la red UJAT, de nuestra institución
de educación superior, hemos llevado acabo nuestra investigación más allá y fuera de los
limites de nuestras fronteras, haciendo una comparación con la metodología y el tipo de
seguridad con que cuentan otras universidades del país, para tener una visión mas amplia de
la importancia y el tiempo que invierten en materia de seguridad en redes.
Se ha realizado una investigación general, en todas y cada uno de los miembros de la región
de las instituciones pertenecientes a la “Asociación de Universidades e Instituciones de
Educación Superior” (ANUIES), que pertenecen a la región sur sureste la cual se
encuentra conformada por 23 instituciones de educación superior.
A cada una de estas máximas casas de estudio correspondiente a cada estado del país, Se
les ha analizado su pagina principal, entre otras más, en busca del nivel de protección al
tema al cual nos referimos y se ha notado que solo algunas de estas instituciones de
educación superior se comienzan a preocupar por la seguridad de la información que ellos
manejan a través de sus redes, ya que solo cuentan con algunas herramientas básicas que
les permite mantenerse a salvo de algunos incidentes menores en cuanto a seguridad se
refiere, y que a su vez les brindan a poyo desde su pagina principal a todo su comunidad
universitaria.
La mayoría de ellas cuentan solo con una pequeña liga destinada a este servicio que brindan
respecto a este tema. Como por ejemplo, una en la cual la institución ofrece este servicio de
seguridad, casi siempre se encuentra en la liga de servicios a la comunidad, en la que solo
cuentan con información de virus mas recientes y como eliminarlos. Algunas otras
universidades y tecnológicos a parte de este servicio que brindan. Tienen ligas hacia otras
instituciones del país, como lo es. La Universidad Nacional Autónoma de México
(UNAM).
Cuenta a demás con un departamento de seguridad en cómputo capacitado para proveer el

servicio a las demás instituciones del país. Y que a su vez cuentan con un equipo de
respuesta a incidentes de seguridad en cómputo que está localizado en el Departamento de
Seguridad en Cómputo (DSC) de la Dirección General de Servicios de Cómputo
Académico (DGSCA), de la UNAM.
El equipo de respuesta a incidentes. UNAM (UNAM-CERT) se encarga de proveer el

servicio de respuesta a incidentes de seguridad en cómputo a sitios que han sido víctimas de
algún ataque, así como de publicar información respecto a vulnerabilidades de seguridad,
alertas de la misma índole y realizar investigaciones de la amplia área del cómputo y así
ayudar a mejorar la seguridad de los sitios.
Este equipo es el único organismo oficial reconocido en México en materia de seguridad

por diversas agrupaciones de los Estados Unidos. Anualmente atiende más de 1,000
incidentes en instituciones educativas públicas y privadas, así como gubernamentales de los
tres niveles de gobierno y empresas, emite más de 50 boletines y notas de seguridad y más
de 800 alertas; esta información es consensada con los más de 80 equipos de respuesta a
incidentes que existen en el mundo. De igual forma, realiza investigaciones y ayuda a
mejorar la seguridad de los sitios
Es preciso decir que mayor parte de las universidades del país, cuentan con el respaldo
directo de la ANUIES, mediante una liga directa dentro de sus páginas Web. La cual les da
apoyo, les proporciona y dicta los reglamentos y normas de centros de cómputo a cada
institución asociada a ella.
Con el estudio realizado se ha observado que existe una apatía muy grande en el tema de la
cultura de prevención de incidentes en seguridad. Por parte de las instituciones del país,
sabiendo que es de gran importancia fomentar esta cultura. Para prevenir grandes desastres
en nuestro sistema y estar preparado a cualquier eventualidad en lo que a la seguridad se
refiere. Existe una actitud histórica en la educación superior según la cual no debe haber
barreras para el acceso a la información. Por eso algunas universidades muestran resistencia
a utilizar los firewalls de redes para bloquear el tráfico malicioso porque temen que estos
productos también les impidan a los demás miembros de la comunidad universitaria realizar
actividades y trabajo de investigación legítimos. La información corre riesgos y esta
situación se debe comunicar. Se debe desarrollar un programa educativo de toma de
conciencia sobre la seguridad relacionado con las amenazas reales que afrontan las
universidades y las razones por las cuales es tan importante adoptar medidas de seguridad.
Comencemos por la cima de la escala jerárquica; primero debemos implementar el

programa de seguridad para los jefes de departamento hasta llegar al grupo de estudiantes.
Quizás la próxima vez que las universidades se encuentren un firewall en el trabajo,
entenderán mejor que es una herramienta necesaria para realizar conexiones seguras en el
actual escenario de Internet.
No vale la pena adoptar una postura de autosuficiencia en el escenario de la seguridad en

cómputo. Siempre habrá atacantes en el ciberespacio, y sus herramientas operativas son
cada vez más sofisticadas. Las universidades deben ser conscientes de que todo lo que
ingresa en sus bases de datos pueden verse comprometido, y por tanto debe protegerse.
Las instituciones evaluadas fueron las siguientes:
Universidad Nacional Autónoma de México

Universidad Juárez Autónoma de Tabasco
Benemérita Universidad Autónoma de Puebla
Instituto Tecnológico de Chetumal.
Instituto Tecnológico de Veracruz.
Instituto Tecnológico de Villahermosa.
Instituto de Ecología.
Capítulo 5. Seguridad en otras instituciones 51
Instituto Tecnológico de Campeche.

Instituto Tecnológico de Minatitlan.
Instituto Tecnológico de Tuxtepec.
Instituto Tecnológico de Tuxtla Gutiérrez.
Universidad Veracruzana.
Universidad Cristóbal Colon.
Universidad Autónoma del Carmen.
Universidad Autónoma de Yucatán.
Centro de Investigación Científica de Yucatán.
Instituto Tecnológico de Oaxaca.
Instituto Tecnológico de Mérida Yucatán.
Universidad de Quintana Roo.
Universidad Autónoma de Chiapas.
Universidad de Ciencias y Artes del Estado de Chiapas.
Instituto Tecnológico del Istmo.
Universidad Autónoma Benito Juárez de Oaxaca.
Universidad Autónoma de Campeche.
La información se obtuvo principalmente de las páginas disponibles en Internet de cada una

de ellas, por lo cual la información aquí recopilada no necesariamente indica que carecen
de algunas áreas.
A continuación se muestran las tablas donde se resumen las características de cada

institución.
UNIVERSIDAD UNIVERSIDAD BENEMERITA INSTITUTO

NACIONAL JUAREZ UNIVERSIDAD TECNOLÓGICO
AUTONOMA AUTÓNOMA AUTÓNOMA DE
DE DE TABASCO DE PUEBLA CHETUMAL
MEXICO
INSTITUCIONES
Departamento de
9 9
Seguridad en Computo
Sección especial
9 9
Seguridad en UNIX
Virus y Gusanos 9 9 9
Tutoriales 9 9
Foros o Listas de
9
discusión
Noticias 9
Boletines 9
Preguntas frecuentes 9
FTP 9
Respuesta a incidentes 9
Capacitación 9
Problemas Spam 9
Eventos 9
Publicaciones 9
Detección de intrusos 9
Estadística 9 9
Documentación 9 9
Utilerías 9 9
Videoconferencia 9 9
Acceso Remoto Dial-up 9 9
Internet2 9 9
Spam 9
Spyware 9
Conoce ó utiliza las
Trabajan en un frente Si las conoce y
normas de seguridad de No las utiliza No las utiliza.
común, en la seguridad. las utiliza.
ANUIES
Personal de dedicado a Si cuenta con No cuenta con No cuenta con
Si cuenta con personal.
la seguridad personal. personal personal
Ligas o pertenece a otras
9 UNAM-CERT UNAM-CERT UNAM-CERT
CERT
Organizaciones
9 ANUIES ANUIES ANUIES
nacionales
Tabla 1. Resumen de las características sobre la implementación de seguridad de las 23

universidades e instituciones de educación superior (ANUIES). Que pertenecen a la región
sur-sureste.
INSTITUTO INSTITUTO
INSTITUTO DE
INSTITUTO TECNOLÓGICO TECNOLOGICO
ECOLOGIA
TECNOLÓGICO DE DE DE CAMPECHE
VERACRUZ VILLAHERMOSA
INSTITUCIONES
Departamento de
Seguridad en Cómputo
Sección especial
Seguridad en UNIX
Virus y Gusanos
Tutoriales
Foros o Listas de
discusión
Noticias
Boletines
Preguntas frecuentes
FTP
Respuesta a incidentes
Capacitación
Problemas Spam
Eventos
Publicaciones
Detección de intrusos
Estadísticas
Documentación
Utilerías
Videoconferencia
Acceso Remoto Dial-up
Internet2
Spyware
normas de seguridad de No las utiliza No las utiliza No las utiliza No las utiliza
ANUIES
Personal de dedicado a No cuenta con No cuenta con No cuenta con
No cuenta con personal
la seguridad personal personal personal
Ligas o pertencia a otros
UNAM-CERT UNAM-CERT UNAM-CERT UNAM-CERT
CERT
Organizaciones
ANUIES ANUIES ANUIES ANUIES
nacionales

sur-sureste.
INSTITUTO INSTITUTO UNIVERSIDAD

INSTITUTO TECNOLOGICO TECNOLOGICO VERACRUZANA
TECNOLOGICO DE DE DE TUXTLA
MINATITLAN TUXTEPEC GUTIERREZ
INSTITUCIONES
Departamento de
Seguridad en cómputo
Sección especial
Seguridad en UNIX
Virus y Gusanos
Tutoriales
Foros o Listas de
discusión
Noticias
Boletines
Pregunta frecuentes
FTP
Capacitación
Problemas Spam
Eventos
Publicaciones
Estadística
Documentación
Utilerías
Videoconferencia
Internet 2
Spyware
normas de seguridad de No las utiliza No las utiliza No las utiliza No las utiliza
ANUIES
Personal de dedicado a No cuenta con No cuenta con No cuenta con
No cuenta con personal
la seguridad personal personal personal
CERT
Organizaciones
nacionales

sur-sureste.
UNIVERSIDAD UNIVERSIDAD UNIVERSIDAD CENTRO DE

CRISTOBAL COLÓN AUTÓNOMA AUTONOMA INVESTIGACIÓN
DEL CARMEN DE YUCATAN CIENTÍFICA DE
YUCATÁN
INSTITUCIONES
Departamento de
9
Sección especial
Seguridad en UNIX
Virus y Gusanos 9 9
Tutoriales
Foros o Listas de
discusión
Noticias 9
Boletines 9
Preguntas frecuentes 9
FTP
Capacitación
Problemas Spam 9
Eventos
Publicaciones
Estadística 9
Documentación 9
Utilerías
Videoconferencias
Internet2
Spyware
Si las conoce y las
normas de seguridad de No las Conoce No las Conoce No las utiliza
utiliza
ANUIES
Personal de dedicado a No cuenta con personal No cuenta con Si cuenta con personal No cuenta con
la seguridad personal dedicado a la personal
seguridad.
CERT
Organizaciones
nacionales

sur-sureste.
INSTITUTO INSTITUTO UNIVERSIDAD UNIVERSIDAD

TECNOLÓGICO DE TECNOLOGICO DE QUINTANA AUTÓNOMA DE
OAXACA DE MÉRIDA ROO CHIAPAS
INSTITUCIONES
Departamento de 9
Sección especial
Seguridad en UNIX
Virus y Gusanos 9 9 9
Tutoriales
Foros o Listas de
discusión
Noticias
Boletines
Preguntas frecuentes
FTP 9 9
Capacitación.
Problemas Spam
Eventos
Publicaciones
Estadística
Documentación
Utilerías
Videoconferencia
Internet2
Spyware
No las utiliza y tiene
normas de seguridad de No las conoce No las conoce No las utiliza
su propio reglamento
ANUIES
Personal de dedicado a No cuenta con No cuenta con No cuenta con No cuenta con
la seguridad personal personal personal personal
CERT
Organizaciones
nacionales

sur-sureste.
UNIVERSIDAD DE INSTITUTO UNIVERSIDAD UNIVERSIDAD

CIENCIAS Y ARTES TECNOLÓGICO AUTÓNOMA AUTÓNOMA DE
DEL ESTADO DE DEL ISTMO BENITO JUAREZ CAMPECHE
CHIAPAS DE OAXACA
INSTITUCIONES
Departamento de
Seguridad en Computo
Sección especial
Seguridad en UNIX
Virus y Gusanos
Tutoriales
Foros o Listas de
discusión
Noticias
Boletines
Pregunta frecuentes
FTP
Capacitación
Problemas Spam
Eventos
Publicaciones
Estadística
Documentación
Utilerías
Videoconferencias
Internet2
Spyware
normas de seguridad de No las conoce. No las conoce No las conoce. No las utiliza
ANUIES
Personal de dedicado a No cuenta con No cuenta con No cuenta con No cuenta con
la seguridad personal. personal personal. personal
CERT
Organizaciones
nacionales

sur-sureste.
Capítulo 6
Políticas de seguridad UJAT
Introducción
Para realizar la propuesta de políticas de seguridad en cómputo para el caso de la UJAT, se

han tomado como referencia dos organismos importantes que son la base fundamental en
investigación acerca de la seguridad y el desempeño de las universidades, como lo son la
“Asociación Nacional de Universidades e Instituciones de Educación Superior” (ANUIES)
y el “Sistema de Administración y Seguridad en Redes” (SANS).
La ANUIES desde su fundación en 1950, ha participado en la formulación de programas,

planes y políticas nacionales, así como en la creación de organismos orientados al
desarrollo de la educación superior en México.
La ANUIES es una asociación no gubernamental, de carácter plural, que agremia a las

principales instituciones de educación superior del país, cuyo común denominador es su
voluntad para promover su mejoramiento integral en los campos de la docencia, la
investigación y la extensión de la cultura y los servicios.
La Asociación está conformada por 139 universidades e instituciones de educación

superior, tanto públicas como particulares de todo el país, que atiende al 80% de la
matrícula de alumnos que cursan estudios de licenciatura y de postgrado.
Por otro lado tenemos al Instituto de Seguridad en Redes y administración de Sistemas

(SANS), fundado en 1989, es una organización dedicada a la investigación y a la educación
a través de la cual más de 96,000 administradores de sistemas, profesionales de la seguridad
y administradores de red comparten las lecciones que aprenden y encuentran soluciones a
los retos a los que se enfrentan.
El corazón de este instituto lo constituyen miles de profesionales de la seguridad en

agencias gubernamentales, empresas y universidades alrededor del mundo, que invierten
cientos de horas cada año en investigación y formación para ayudar a toda la comunidad
del SANS.
Al elaborar las políticas que reflejan la seguridad en la Red-UJAT. Pueden adaptarse dos
posturas principales.
Lo que no se permite expresamente está prohibido, este es el primer enfoque de

seguridad. Esto significa que la UJAT, proporciona una serie de servicios bien
determinados y documentados, y cualquier otra cosa está prohibida.
Por ejemplo. Si se permite el uso del servicio de SSH, este deberá estar listado entre los
autorizados, cualquier otro no debe permitirse.
Este es el caso que aplica actualmente en la UJAT. Donde se bloquea toda la red y luego
se listan los servicios que se van a utilizar. De este modo solo se opera con los puertos, o
servicios que realmente se requieren.
El segundo enfoque es crear una lista de los servicios no permitidos, por lo tanto lo que no
se prohíbe expresamente está permitido. Esto significa que a menos que la las políticas
de la uso de la red lo indiquen expresamente que cierto servicio no esta disponible, todo lo
demás si lo esta.
Por ejemplo, si no desea que se use el servicio de Telnet, entonces se indicara en la lista de
servicios no permitidos. Los demás servicios como el SSH y el FTP podrán utilizarse.
La desventaja es que puede hacerse uso de protocolos que no estén explícitamente

prohibidos. Es más fácil en ciertos casos listar lo permitido que lo prohibido.
Para tomar la decisión de cual alternativa tomar, al margen de la línea de cómo se

establecen las reglas o políticas de operación que la UJAT siga, las razones detrás de
definir una política de seguridad son determinar qué acciones deben tomarse en caso de
que se comprometa la seguridad de la UJAT. La política también se dirige a describir qué
acciones se toleran y cuales no.
Todo el cúmulo de información que aquí se maneja, en este capitulo de políticas de

seguridad UJAT se han tomado de diferentes fuentes como son: libros, revistas, manuales y
direcciones de Internet y han sido plasmadas y escritas en un lenguaje sencillo para una
mejor apreciación de la lectura para las personas que tengan oportunidad de tener en sus
manos este trabajo de investigación que he realizado, así como para un mejor
entendimiento y aplicación de las políticas propuestas. Las referencias de dichas fuentes se
encuentran en la parte final de esta tesis y se encuentran clasificadas de acuerdo a cada
política que aquí se proponen.
A continuación se presentan las políticas propuestas, las cuales reflejan el trabajo de

investigación realizado, aplicado a las necesidades y características propias de la UJAT.
Políticas De Seguridad En Cómputo
1. Política sobre seguridad física

2. Política sobre la seguridad lógica Red-UJAT
3. Política sobre la Seguridad lógica administrativa en recursos de cómputo
4. Política sobre la Seguridad lógica en servidores
5. Política sobre antivirus
6. Política para redes de investigación en Internet 2
7. Política de Programas P2P
8. Política de redes inalámbricas (Wireless Local Área Network)
9. Política de encriptación aceptable
10. Política de uso aceptable
11. Política de seguridad en línea ISDN / Analógica
12. Política de auditoria
13. Política de acceso DIAL-IN
14. Política de seguridad para laboratorio DMZ.
15. Política de correo electrónico
16. Política de contraseña DB
1. Política sobre seguridad física
Antecedentes
La seguridad física es una de los aspectos menos tomados en cuenta a la hora del diseño de un
sistema de cómputo o informático. Si bien algunos de los aspectos de seguridad física básicos se
prevén, otros, como la detección de un atacante interno a la empresa que intenta acceder
físicamente a una sala de cómputo de la misma, no. Esto puede derivar en que para un atacante
sea más fácil lograr tomar y copiar una cinta o disco de reserva de la sala de cómputo, que intentar
acceder vía lógica a la misma.
Así, la seguridad física consiste en la aplicación de barreras físicas y procedimientos de control,

como medidas de prevención y contramedidas ante amenazas a los recursos e información
confidencial. Se refiere a los controles y mecanismos de seguridad dentro y alrededor del centro de
cómputo, así como los medios de acceso remoto al y desde el mismo; implementados para
proteger el hardware y medios de almacenamiento de datos.
Las principales amenazas que se prevén en seguridad física son:

• Desastres naturales, incendios accidentales, tormentas e inundaciones
• Amenazas ocasionadas por el hombre
• Disturbios, sabotajes internos y externos deliberados
Evaluar y controlar permanentemente la seguridad física de las instalaciones de cómputo y del

edificio es la base para comenzar a integrar la seguridad como una función primordial dentro de
cualquier organismo.
Tener controlado el ambiente y acceso físico permite al administrador.
• Trabajar mejor en manteniendo da la sensación de seguridad

• Descartar falsas hipótesis si se produjeran incidentes
• Tener los medios para luchar contra accidentes
Propósito y alcance
Estas políticas previenen situaciones en las que se pueda ver afectada la infraestructura de
cómputo de (los closets de comunicaciones y servidores) de la UJAT, debido a no contar con un
control de acceso físico, a fallas en el suministro eléctrico, o a falla debidas a desastres naturales.
Artículos
(Acceso Físico)
1.1 Todos los closets de comunicaciones y servidores deberán estar debidamente protegidos con
infraestructura apropiada de manera que el usuario no tenga acceso físico directo.
1.2 Las visitas a los closets de comunicaciones y servidores deberán solicitar permiso al
departamento de redes así como portar una identificación durante su estancia en la institución.
1.3 Se deberán establecer horarios de acceso a instalaciones físicas, especificando los

procedimientos y en qué casos se deberá hacer excepciones.
1.4 Se debe definir qué personal está autorizado para mover, cambiar o extraer equipo de la UJAT
a través de identificaciones y los formatos correspondientes. El personal de acceso deberá tener
conocimiento de estos procedimientos.
(Robo de Equipo)
1.5 La UJAT deberá definir procedimientos para inventario físico, firmas de resguardo para
préstamos y usos dedicados de equipos de cómputo.
1.6 El resguardo de los equipos de cómputo estará a cargo de Cómputo Universitario contando
con un control de los equipos sin asignación personalizada que permita conocer siempre la
ubicación física de los equipos.
1.7 El Departamento de Redes y telecomunicaciones, así como las áreas que cuenten con
equipos de misión crítica deberán contar con vigilancia y/o algún tipo de sistema que ayude a
recabar evidencia de accesos físicos a las instalaciones.
(Protección Física)
1.8 Las puertas de acceso a las salas de cómputo deben ser preferentemente de vidrio
transparente, para favorecer el control del uso de los recursos de cómputo.
1.9 Los closets de comunicaciones en la UJAT deben contar con acceso restringido, observar un
buen estado de la red eléctrica, protegida y acondicionada.
1.10 Los closets de comunicaciones deberán seguir los estándares vigentes para una protección
adecuada de los equipos de telecomunicaciones y servidores.
1.11 Los sistemas de tierra física de los closets de comunicaciones deberán recibir
mantenimiento anual con el fin de determinar su efectividad.
1.12 Se debe contar con una póliza de seguro contra desastres naturales que incluya
primeramente el equipo de mayor impacto hasta el de menor en la operación de la UJAT. La
póliza de servicio de mantenimiento debe considerar reemplazo de equipo según su importancia.
(Respaldos)
1.13 La Base de Datos del SIIA-UJAT será respaldada diariamente en forma automática y
manual, según los procedimientos generados para tal efecto.
1.14 Los respaldos del SIIA-UJAT deberán ser almacenados en un lugar seguro y distante del sitio
de trabajo.
Revisión Histórica
Última revisión fecha _______________________________.

Antecedentes
Así como los sistemas pueden verse afectados por la falta de seguridad física, es importante
recalcar que la mayoría de los daños que puede sufrir un centro de cómputo no será sobre los
medios físicos sino contra información por él almacenada y procesada. Así, la seguridad física sólo
es una parte del amplio espectro que se debe cubrir para no vivir con una sensación ficticia de
seguridad. El activo más importante que se posee es la información, y por lo tanto deben existir
técnicas, más allá de la seguridad física que la asegure. Estas técnicas las brinda la Seguridad
Lógica.
La seguridad lógica consiste en la aplicación de barreras y procedimientos que resguarden el

acceso a los datos y sólo se permita acceder a ellos a las personas autorizadas para hacerlo. Se
parte del principio de seguridad que dicta que “todo lo que no está permitido debe estar prohibido”
Propósito y Alcance
• Restringir el acceso a los programas y archivos

• Asegurar que los operadores puedan trabajar sin una supervisión minuciosa y no puedan
modificar los programas ni los archivos que no correspondan.
• Asegurar que se estén utilizando los datos, archivos y programas correctos en y por el
procedimiento correcto.
• Que la información transmitida sea recibida por el destinatario al cual ha sido enviada y no
a otro.
• Que la información recibida sea la misma que ha sido transmitida.
• Que existan sistemas alternativos secundarios de transmisión entre diferentes puntos.
• Que se disponga de pasos alternativos de emergencia para la transmisión de información.
Artículos
(De la Red-UJAT)
2.1 La Red-UJAT tienen como propósito principal servir en la transformación e intercambio de

información entre organizaciones académicas y de investigación, entre estas y otros servicios
locales, nacionales e internacionales, a través de conexiones con otras redes.
2.2 Si una aplicación en la red es consistente con los propósitos de la Red-UJAT, las actividades
necesarias para esa aplicación serán consistentes con los propósitos de la TI-UJAT.
2.3 La Red-UJAT no es responsable por el contenido de datos ni por el tráfico que en ella circule,
la responsabilidad recae directamente sobre el usuario que los genere o solicite.
2.4 Nadie puede ver, copiar, alterar o destruir la información que reside en los equipos de las UJAT
sin el consentimiento explícito responsable del equipo.
2.5 No se permite interferir o interrumpir las actividades de los demás usuarios por cualquier medio
o evento salvo que las circunstancias así lo ameriten, como casos de contingencia, los cuales
deberán ser reportados en su momento a sus autoridades correspondientes.
2.6 No se permite el uso de los servicios de la red que no estén autorizados.

2.7 Las cuentas de ingreso a los sistemas y los recursos de cómputo son propiedad de la UJAT y
se usarán exclusivamente para actividades relacionadas con la institución.
2.8 Todas las cuentas de acceso a los sistemas y recursos de cómputo de la Red-UJAT son
personales e intransferibles, se permite su uso única y exclusivamente durante la vigencia de
derechos del usuario.
2.9 El uso de analizadores (scanners) de red es permitido única y exclusivamente por el personal
del Departamento de Redes y Telecomunicaciones y por el encargado que ellos autoricen para
monitorear la funcionalidad de la Red-UJAT, contribuyendo a la consolidación del sistema de
seguridad en la UJAT bajo las políticas y normatividades de la UJAT.
2.10 Cuando se detecte un uso no aceptable, se cancelará la cuenta o se desconectará temporal o

permanentemente al usuario o red involucrados dependiendo de la normatividad de la UJAT. La
reconexión se hará en cuanto se considere que el uso no aceptable se ha suspendido.
(De las Dependencias UJAT)
2.11 Las dependencias deben llevar un control total escrito y/o sistematizado de sus recursos de
cómputo.
2.12 Las dependencias deberán reportar al encargado y/o al Departamento de Redes y

telecomunicaciones de la Red-UJAT cuando un usuario deje de laborar o de tener una relación
con la institución.
2.13 Si una dependencia viola las políticas vigentes de uso aceptable de la Red-UJAT, el Centro
de Operaciones de la Red-UJAT aislará la red de esa dependencia.
2.14 Todo usuario debe respetar la intimidad, confidencialidad de derechos individuales de los
demás.
2.15 El encargado no podrá remover del sistema ninguna información de cuentas individuales, a
menos que la información sea de carácter ilegal, o ponga en peligro el buen funcionamiento de los
sistemas, o se aproveche de ser de algún intruso utilizando una cuenta ajena.
(Políticas de uso aceptable de los usuarios)
2.16 Los recursos de cómputo empleados por el usuario. Deberán ser afines al trabajo
desarrollado así como no deberán ser proporcionados a personas ajenas y no deberán ser
utilizados para fines personales
2.17 El correo electrónico no se usará para envío masivo, materiales de uso no académico
(publicidad y propaganda comercial, política o social, entre otros).
2.18 Para reforzar la seguridad de la información de su cuenta, el usuario conforme su criterio

deberá hacer respaldos de su información, dependiendo de la importancia y frecuencia de
modificación de la misma.
2.19 Queda estrictamente prohibido inspeccionar, copiar y almacenar programas de cómputo,

software y demás fuentes que violen la ley de derechos de autor.
2.20 Los usuarios deberán solicitar apoyo al encargado de su dependencia ante cualquier duda
en el manejo de los recursos de cómputo de la institución.
(De los servidores de la Red-UJAT)
2.21 El Departamento de Redes y telecomunicaciones de la Red-UJAT tiene la responsabilidad

de verificar la instalación, configuración e implementación de seguridad, en los servidores
conectados a la Red-UJAT.
2.22 La instalación y/o configuración de todo servidor conectado a la Red-UJAT deberá ser
notificada al Departamento de Redes y telecomunicaciones de la Red-UJAT.
2.23 Durante la configuración del servidor el Encargado debe normar el uso de los recursos del
sistema y de la red, principalmente la restricción de directorios, permisos y programas a ser
ejecutados por los usuarios.
2.24 Los servidores que proporcionen servicios a través de la Red-UJAT e Internet deberán
funcionar 24 horas del día los 365 días del año, deberán ser monitoreados por el Departamento
de Redes y telecomunicaciones
2.25 Los servicios institucionales hacia Internet sólo podrán proveerse a través de los servidores
autorizados por el Departamento de Redes y telecomunicaciones de la Red-UJAT.
2.26 El Departamento de Redes y telecomunicaciones de la UJAT es el encargado de asignar

las cuentas a los Usuarios para el uso de correo electrónico en los servidores que administra.
2.27 La cuenta será activada en el momento en que el Usuario se presente en el Departamento

de Redes y telecomunicaciones de la Red-UJAT con una identificación personal, siendo el
Departamento de Redes y telecomunicaciones de la Red-UJAT el responsable de verificar la
asignación de la contraseña.
2.28 Los servidores deberán ubicarse en un área física que cumpla las recomendaciones para un
closet de comunicaciones del Departamento de Redes y telecomunicaciones.
(Del Sistema Integral de Información Administrativa)
2.29 El ABD tendrá acceso a la información de la Base de Datos del SIIA-UJAT únicamente para.
La realización de los respaldos de la BD, solucionar problemas que el usuario no pueda resolver y
Diagnóstico o monitoreo del SIIA-UJAT.
2.30 El Administrador de la Base de Datos del SIIA-UJAT no deberá eliminar ninguna información
del sistema, a menos que la información esté dañada o ponga en peligro el buen funcionamiento
del sistema.
2.31 El Administrador de la Base de Datos del SIIA-UJAT es el encargado de asignar las cuentas a
los usuarios para el uso del SIIA-UJAT. Para tal efecto será necesario seguir el procedimiento
determinado por la UJAT.
2.32 Las contraseñas serán asignadas por el Administrador de la Base de Datos del SIIA-UJAT en
el momento en que el usuario desee activar su cuenta, previa solicitud al responsable del SIIA-
UJAT, de acuerdo con el procedimiento generado.
Última revisión fecha _______________________________
3. Política sobre la seguridad lógica administrativa en recursos

de cómputo
Antecedentes
La inversión en equipos de cómputo, software y servicios; demandan sacar el mayor beneficio a fin
de hacer rentable la infraestructura, por lo que la preparación de un encargado de sistemas es
fundamental.
El encargado requiere conocer todos los aspectos del entorno técnico-administrativo de los centros
de cómputo, mantener actualizados sus conocimientos en los nuevos desarrollos tecnológicos
disponibles en el mercado, así como adquirir una visión de la tendencia al futuro de dichos centros.
El área de administración se encarga de establecer políticas para el uso correcto y eficiente de los
equipos.
El área de administración, es responsable de controlar el uso y aprovechamiento de los recursos

de cómputo que la UJAT otorga para la utilización de los centros de cómputo y el alto rendimiento
a proyectos de investigación
Artículos
(Área de Seguridad en Cómputo)
3.1 El ASC-UJAT la encargada de suministrar medidas de seguridad adecuadas contra la intrusión

o daños a la información almacenada en los sistemas así como la instalación de cualquier
herramienta, dispositivo o software que refuerce la seguridad en cómputo. Sin embargo, debido a
la amplitud y constante innovación de los mecanismos de ataque no es posible garantizar una
seguridad completa.
3.2 El ASC-UJAT debe mantener informados a los usuarios y poner a disposición de los mismos el
software que refuerce la seguridad de los sistemas de cómputo de la UJAT.
3.3 El ASC-UJAT es el único autorizado para monitorear constantemente el tráfico de paquetes

sobre la red, con el fin de detectar y solucionar anomalías, registrar usos indebidos o cualquier falla
que provoque problemas en los servicios de la Red-UJAT.
(Administradores de Tecnologías de Información)
3.4 El encargado de seguridad debe cancelar o suspender las cuentas de los usuarios previa
notificación, cuando se le solicite mediante un documento explícito por las autoridades de una
dependencia en los siguientes casos: Si la cuenta no se está utilizando con fines institucionales, si
pone en peligro el buen funcionamiento de los sistemas o si se sospecha de algún intruso
utilizando una cuenta ajena.
3.5 El encargado de seguridad deberá ingresar de forma remota a computadoras única y

exclusivamente para la solución de problemas y bajo solicitud explícita del propietario de la
computadora.
3.6 El encargado de seguridad deberá utilizar los analizadores previa autorización del ASC-
UJAT y bajo la supervisión de éste, informando de los propósitos y los resultados obtenidos.
3.7 El encargado de seguridad deberá realizar respaldos periódicos de la información de los

recursos de cómputo que tenga a su cargo, siempre y cuando se cuente con dispositivos de
respaldo.
3.8 El encargado de seguridad debe actualizar la información de los recursos de cómputo de la

dependencia a su cargo, cada vez que adquiera e instale equipo o software.
3.9 El encargado de seguridad debe registrar cada máquina en el padrón único de control de
equipo de cómputo y red de la dependencia a su cargo.
3.10 El encargado de seguridad debe auditar periódicamente los sistemas y los servicios de red,
para verificar la existencia de archivos no autorizados, configuraciones no válidas o permisos extra
que pongan en riesgo la seguridad de la información.
3.11 EL encargado de seguridad debe realizar la instalación o adaptación de sus sistemas de

cómputo de acuerdo con las solicitudes del ASC-UJAT en materia de seguridad.
3.12 EL encargado reportará al ASC-UJAT los incidentes de seguridad, de acuerdo con el formato
de control de incidentes de la UJAT, junto con cualquier experiencia o información que ayude a
fortalecer la seguridad de los sistemas de cómputo.
4. Política sobre la seguridad lógica en servidores
Antecedentes
Internet — La red global de computadoras que proporciona a la base para el correo electrónico
universal, WWW, y formas numerosas de comercios electrónicos —varios lo han descrito como lo
fue en su aparición la computadora personal, más significativa que la prensa y tan revolucionario
como el descubrimiento del fuego. Actualmente, los títulos de Internet abarrotan los estantes de la
sección de computadora de cada librería. Cada película importante se jacta un sitio de la red.
Aunque una Firewall, se diseña para controlar el flujo de la información entre dos redes, vino antes
de que el mundo en grande hubiera oído hablar del Internet. El sentido común dice que un
administrador de red debe considerar el usar de una Firewall al momento de conectar dos redes, el
proceso se llama la conexión de redes (internetworking). Típicamente, el término capitalizado
Internet se refiere específicamente al descendiente de TP/IP de la unión de ARPAnet's a SNET en
1982, ahora sirven diez de millones de usuarios vía cientos de los miles de servidores de Internet.
En prácticamente todos los casos, la conexión de redes debe considerar la conexión de una
Firewall para mediar y para vigilar las conexiones de la red interna. Estas preocupaciones se hacen
mayores, cuando la conexión incluye una conexión directa a Internet.
Para muchos administradores la principal preocupación es la implementación de seguridad en el
acceso a Internet, pero no debe descuidarse la seguridad interna de los servidores tanto física
como lógica, la importancia de este tema es capital en la implementación de una política de
seguridad.
Artículos
(Servidores en las dependencias universitarias)
4.1 Cada dependencia definirá los servicios de red a ofrecer en los servidores e informará al
departamento de redes y telecomunicaciones de la red para su autorización.
4.2 Las dependencias pueden utilizar la infraestructura de la Red-UJAT para proveer servicios a
los usuarios de la misma dependencia y/o pertenecientes a la UJAT.
4.3 El encargado es el responsable de la administración de contraseñas y deberá guardar su

confidencialidad, siguiendo el procedimiento para manejo de contraseñas de la UJAT.
4.4 La dependencia deberá notificar al encargado cuando un usuario deje de laborar o de tener
relación con la UJAT.
4.5 La dependencia deberá notificar al centro de operaciones cuando el encargado deje de

tener alguna relación oficial con la dependencia o con la UJAT
4.6 El encargado es el único autorizado para asignar las cuentas a los usuarios de su
dependencia con previa anuencia de las autoridades de la dependencia.
4.7 El departamento de redes y telecomunicaciones de la Red-UJAT aislará cualquier servidor

de red, notificando al encargado, usuarios y autoridades de la dependencia, en las condiciones
siguientes:
• Si los servicios proporcionados por el servidor implican un tráfico adicional en la Red-UJAT.
• Si se detecta la utilización de vulnerabilidades que puedan comprometer la seguridad en la
Red-UJAT.
• Si se detecta la utilización de programas que alteren la seguridad y/o consistencia de los
servidores.
• Si se detectan accesos no autorizados que comprometan la integridad de la información.
• Si se viola las políticas de uso de los servidores.
(Uso de los Servidores por los usuarios)
4.8 Si un usuario viola las políticas de uso de los servidores, el encargado podrá cancelar
totalmente su cuenta de acceso a los servidores, notificando a las autoridades correspondientes.
5. política sobre Antivirus
Antecedentes
No para toda enfermedad existe cura, como tampoco existe una forma de erradicar todos y cada
uno de los virus existentes. Es importante aclarar que todo antivirus es un programa y que, como
todo programa, sólo funcionará correctamente si es adecuado y está bien configurado. Además, un
antivirus es una herramienta para el usuario y no sólo no será eficaz para el 100% de los casos,
sino que nunca será una protección total ni definitiva.
La función de un programa antivirus es detectar, de alguna manera, la presencia o el accionar de

un virus informático en una computadora. Este es el aspecto más importante de un antivirus,
independientemente de las prestaciones adicionales que pueda ofrecer, puesto que el hecho de
detectar la posible presencia de un virus informático, detener el trabajo y tomar las medidas
necesarias, es suficiente para acotar un buen porcentaje de los daños posibles. Adicionalmente, un
antivirus puede dar la opción de erradicar un virus informático de una entidad infectada.
El modelo más primario de las funciones de un programa antivirus es la detección de su presencia

y, en lo posible, su identificación. La primera técnica que se popularizó para la detección de virus
informáticos, y que todavía se sigue utilizando (aunque cada vez con menos eficiencia), es la
técnica de scanning. Esta técnica consiste en revisar el código de todos los archivos contenidos en
la unidad de almacenamiento fundamentalmente los archivos ejecutables en busca de pequeñas
porciones de código que puedan pertenecer a un virus informático. Este procedimiento,
denominado escaneo, se realiza a partir de una base de datos que contiene trozos de código
representativos de cada virus conocido, agregando el empleo de determinados algoritmos que
agilizan los procesos de búsqueda.
La técnica de scanning fue bastante eficaz en los primeros tiempos de los virus informáticos,
cuando había pocos y su producción era pequeña. Este relativamente pequeño volumen de virus
informáticos permitía que los desarrolladores de antivirus escaneadores tuvieran tiempo de analizar
el virus, extraer el pequeño trozo de código que lo iba a identificar y agregarlo a la base de datos
del programa para lanzar una nueva versión. Sin embargo, la obsolescencia de este mecanismo de
identificación como una solución antivirus completa se encontró en su mismo modelo.
El primer punto grave de este sistema radica en que siempre brinda una solución a posteriori: es
necesario que un virus informático alcance un grado de dispersión considerable para que sea
enviado (por usuarios capacitados, especialistas o distribuidores del producto) a los
desarrolladores de antivirus. Estos lo analizarán, extraerán el trozo de código que lo identificará, y
lo incluirán en la próxima versión de su programa antivirus. Este proceso puede demorar meses a
partir del momento en que el virus comienza a tener una dispersión considerable, lapso en el cual
puede causar graves daños sin que pueda ser identificado. Además, este modelo consiste en una
sucesión infinita de soluciones parciales y momentáneas (cuya sumatoria jamás constituirá una
solución definitiva), que deben actualizarse periódicamente debido a la aparición de nuevos virus.
En síntesis, la técnica de scanning es altamente ineficiente, pero se sigue utilizando debido a que
permite identificar rápidamente la presencia de los virus más conocidos y, como son estos los de
mayor dispersión, permite una importante gama de posibilidades. Un ejemplo típico de un antivirus
de esta clase es el Viruscan de McAfee.
Todo virus es un programa y, como tal, debe ser ejecutado para activarse. Es imprescindible contar
con herramientas de detección y desinfección. Ningún sistema de seguridad es 100% seguro; por
eso todo usuario de computador debería tratar de implementar estrategias de seguridad antivirus,
no sólo para proteger su propia información sino para no convertirse en un agente de dispersión de
algo que puede producir daños graves e indiscriminados.
Artículos
(Antivirus de la Red-UJAT)
5.1 Deberán ser utilizadas en la implementación y administración de la solución antivirus.
5.2 Todos los equipos de cómputo de la UJAT deberán tener instalada la solución antivirus.
(Políticas antivirus de las dependencias universitarias)
5.3 El encargado será el responsable de implementar la solución antivirus en las computadoras

a su cargo, solucionar contingencias presentadas ante el surgimiento de virus que la solución no
haya detectado automáticamente, configurar el analizador de red de su dependencia para la
detección de virus y notificar a la CAV en caso de contingencia con virus.
5.4 En caso de contingencia con virus el encargado deberá seguir el procedimiento establecido
por la UJAT.
(Uso del Antivirus por los usuarios)
5.5 El usuario no deberá desinstalar la solución antivirus de su computadora pues ocasiona un

riesgo de seguridad ante el peligro de virus.
5.6 Si el usuario hace uso de medios de almacenamiento personales, éstos serán rastreados por la
solución antivirus en la computadora del usuario o por el equipo designado para tal efecto.
5.7 El usuario deberá comunicarse con el encargado de su dependencia en caso de problemas

de virus para buscar la solución.
5.8 El usuario será notificado por el encargado en los siguientes casos. Cuando sea desconectado
de la red con el fin evitar la propagación del virus a otros usuarios de la dependencia, cuando sus
archivos resulten con daños irreparables por causa de virus y si viola las políticas antivirus.
6. Política para la red de Internet 2
Antecedentes
La Internet de hoy es el fruto de proyectos de investigación y colaboración entre Universidades

norteamericanas por los años sesenta. Estos proyectos tuvieron un fuerte apoyo económico de
empresas y entidades gubernamentales de los Estados Unidos. Así, Internet inicialmente fue una
red académica orientada a la colaboración e investigación entre las distintas Universidades que
conformaban esta red. Con el tiempo esta red académica evolucionó hasta lo que hoy es Internet,
el medio de comunicación más masivo del planeta.
La red central de Internet en sus comienzos ARPAnet pasó a ser NSFnet y hasta hoy es la espina
dorsal de Internet. Sin embargo luego de su privatización en conjunto con la explosión de Internet
se deterioró su servicio y frecuentemente se congestiona. Esto por supuesto ha tenido un impacto
negativo en el quehacer para el cual Internet inicialmente fue creada, la colaboración e
investigación académica.
Un proyecto similar al de los años sesenta se está llevando a cabo actualmente entre
Universidades a lo largo de todo el mundo. El proyecto tiene como principal objetivo el proveer a la
comunidad académica de una red entendida para la colaboración e investigación entre sus
distintos miembros y con esto permitir el desarrollo de aplicaciones y protocolos que luego puedan
aplicarse a la Internet de todos
Internet2 es un consorcio que es conducido por 202 universidades que trabajan en sociedad con
industrias y el gobierno para desarrollar y para desplegar usos avanzados y las tecnologías de la
red, acelerando la creación del Internet del mañana. Internet2 está reconstruyendo la sociedad
entre academia, industria y el gobierno que fomentó Internet de hoy en su infancia.
Las universidades mexicanas que ya están conectadas a Internet2 aprovechan al máximo los
recursos ofrecidos por una red de alta velocidad con fines educativos, un buen ejemplo es el
Instituto Tecnológico de Estudios Superiores de Monterrey, que usa la telaraña para que sus
profesores impartan clases virtuales por videoconferencia a muchos de sus campus. Otro caso es
el del Consejo Nacional de la Ciencia y la Tecnología (CONACYT), cuyos centros de investigación
que estudian el golfo de California comparten información de clima, salinidad, fauna, etcétera, entre
ellos y con otras instituciones estadounidenses. Para el directivo, las tecnologías que se
desarrollen a partir de la investigación conjunta pronto serán llevadas a la población en general, y
ése es precisamente el valor de Internet2. "El modelo es muy claro con Internet1. Arranca como
un proyecto patrocinado por el gobierno, se expande a las universidades, las cuales después se
asocian con la iniciativa privada, y estas empresas comercializan a la gente". Las metas
fundamentales de Internet2 son:
Crear una capacidad principal de la red del borde para la comunidad de investigación nacional
Permita los usos revolucionarios del Internet.
Asegurar la transferencia rápida de nuevos servicios de red y los usos a la comunidad más amplia
del Internet.
Artículos
(El uso de la Red)
6.1 El uso de la red de Internet2 es exclusivamente para fines de investigación

(Sobre los proyectos)
6.2 Los proyectos que requieran Internet2 serán coordinados por el centro de cómputo
universitario.
(Sobre video conferencias)
6.3 Los servicios de video conferencias que requieran Internet2 serán coordinadas por el centro
de cómputo universitario.
7. Política de Programas P2P

Antecedentes
Puede que alguna vez hayas oído hablar de programas o aplicaciones P2P. Esta expresión viene
de peer to peer (igual a igual) y hace referencia a las redes entre iguales. ¿Qué quiere decir esto?
Si sabes un poco de redes, por poco que sea, sabrás que cuando hablamos de red nos referimos a
ordenadores conectados unos con otros. Puede que te suenen las redes clientes-servidor, un tipo
de redes en donde un ordenador hace de servidor o HOST brindando servicios informáticos o de
comunicaciones al resto de ordenadores conectados (clientes). Esto significa que un ordenador-
servidor va a dirigir la red, de manera que el resto de ordenadores-clientes van a solicitar al
ordenador-servidor servicios propios de una red. Pero en las redes peer to peer o redes entre
iguales cualquier nodo u ordenador de la red puede hacer las de clientes o las de servidor
dependiendo de si solicita un servicio a otro nodo de la red o se le es solicitado un servicio a él.
Todo depende de cómo se lleve a cabo la configuración de la propia red.
Así, por ejemplo, si un ordenador tiene una impresora, podría compartirla con el resto de
ordenadores. De igual manera, en esa misma red, otro ordenador podría poner a compartir sus
discos duros de manera accesible para el resto de ordenadores.
Hay muchos programas que circulan por la red de tipo P2P, como el KaZaa o el eDonkey o como
en su día lo fue el famoso Napster, que permiten compartir imágenes, videos y software de todo
tipo a través de Internet de manera que, una vez descargados en tu ordenador, pueden ser
descargados por otros usuarios de tu ordenador. También puedes elegir qué ficheros compartir y
cuales no. Cuando piensas en que tienes la posibilidad de bajar archivos de los ordenadores de
otros ínter nautas y ellos del tuyo, se te alegra la cara en el sentido de que, actualmente, es el
sistema más fácil y rápido de encontrar esa canción o vídeo que tanto te gusta y no encuentras en
ningún buscador. Pero algo malo tenía que haber en todo esto, ya que utilizar un programa P2P es
beneficiara la piratería, de ahí la caída de Napster. Por esto, y como conclusión, decir que mucho
ojo de qué bajas del ordenador de la gente ya que si lo piensas bien, es una manera muy rápida
de contagiar nuestro equipo y el de la gente, aunque esperamos no dar ideas con esto.
A pesar de los denotados esfuerzos de la industria discográfica por acabar con los sistemas
gratuitos de intercambio de ficheros musicales (KaZaa, Moprpheus...), las redes P2P (peer to peer)
seguirán creciendo y alcanzarán la cumbre en 2005, según predice The Yankee Group.
El año pasado volaron de PC a PC gracias a programas como KaZaa o Morpheus unos 5.160
millones de archivos de audio sin la autorización del propietario de los derechos de autor, cifra que
aumentará hasta los 7.440 millones en 2005. A partir de ese año el fenómeno empezará a declinar,
y en 2006 'sólo' serán 6.330 millones las canciones intercambiadas de forma 'ilegal'.
Sólo a través de Kazaa, quizá el programa más popular tras la muerte prematura de Napster y
AudioGalaxy, se puede contactar, de media, con unos 3 millones de usuarios que comparten
alrededor de 400 millones de archivos (aunque hay que tener en cuenta que en Kazaa se
encuentran todo tipo de ficheros, no sólo mp3). El Kazaa Media Desktop ya ha sido descargado
unos 115 millones de veces, más de dos millones en la última semana. Sin embargo, es más que
probable que Kazaa no sobreviva hasta 2005, ya que está en el punto de mira de la industria
desde hace tiempo.
El informe de The Yankee Group supone una bofetada para las iniciativas de las discográficas, que
han lanzado sus propias plataformas de pago para descargar música (MusicNet y PressPlay) que
no terminan de arrancar. Los sistemas por suscripción han atraído hasta el momento a unos
100.000 usuarios. La última estrategia de Recording Industry Association of América (RIAA), que
hasta ahora sólo ha sentado en el banquillo a las empresas promotoras de sistemas de

intercambio, consiste en llevar la lucha anti-piratería hasta las casas de los usuarios, amenazando
con meter entre rejas a los más procaces.
La RIAA estima que la piratería a través de Internet ha escamoteado un 5% de las ventas de

música en 2000 y 2001. Yankee coincide en que las descargas de la Red contribuyen
significativamente al descenso de ventas, pero al declive de la industria se unen otros muchos
factores. Al igual que proclamas Forrester en un informe reciente, Yankee coincide en que las
discográficas debería facilitar a la gente encontrar, copiar y pagar por la música en Internet. Si
hacen bien los deberes, los servicios de pago asomarán la cabeza en 2005, y las descargas
musicales significarán el 17% de las ventas para 2007, según Forrester.
El problema de la industria es que no supo reaccionar con inteligencia ante la ruidosa aparición de
Napster, optando por golpear con la maza del juez a los rebeldes en lugar de dedicarse a estudiar
alternativas. En 1999, la venta de discos (1,2 millones de unidades en EEUU) supuso 14.600
millones de dólares, momento desde el cual, con la llegada de Napster, comenzó el descenso.
Que Internet pase de ser el enemigo público número uno a un aliado sólo depende de las
discográficas.
Este año, Yankee estima que 500.000 usuarios se suscribirán a sistemas de pago, generando 21,7
millones de dólares de ingresos. Cuando la industria afine el modelo de negocio, para 2007, habrá
65,6 millones de suscriptores que gastarán 5.800 millones de dólares.
Las redes P2P continuarán funcionando más allá del 2005. Verán IPv6, IPv7, y más allá, y
perdurarán como lo han hecho el IRC o el HTTP. No es una cuestión de leyes o de juicios. Esto
funciona gratis, la alternativa, música bajo demanda, implica pagar una cuota ¿por que pagar si
puede salir gratis? Hoy en día los protocolos usados en las redes P2P permiten a los usuarios ser
anónimos, perderse entre la multitud (esa era una de las hermosas ideas de arpanet que se
diluyeron con el tiempo). Tampoco los contenidos de las redes P2P pueden ser moderados. No
mientras los que tengan el control de las redes sean desarrolladores independientes y usuarios,
con ese espíritu siempre tan GPL de por medio. Se ha abierto la caja de Pandora. Me gustaría
saber cual va a ser el siguiente paso de los ultra defensores del copyright (esos que hacen CDs y
DVD que luego no puedes reproducir en casa). Ni siquiera una ley tipo DMCA por aquí valdría de
mucho. Pienso que ahora es el momento de plantearse de nuevo el concepto de copyright y de
como se ata a los usuarios. O eso o perderlo todo.
Articulo
(Sobre su uso)
7.1 Esta prohibido el uso no autorizado de programas o aplicaciones punto a punto para descargar
cualquier tipo de material que cuente con derechos de autor.
8. Política de redes inalámbricas (Wireless Local Area Network)

Antecedentes
Una de las tecnologías más prometedoras y discutidas en esta década es la de poder comunicar
computadoras mediante tecnología inalámbrica. La conexión de computadoras mediante Ondas de
Radio o Luz Infrarroja, actualmente está siendo ampliamente investigada. Las Redes Inalámbricas
facilitan la operación en lugares donde la computadora no puede permanecer en un solo lugar,
como en almacenes o en oficinas que se encuentren en varios pisos.
También es útil para hacer posibles sistemas basados en plumas. Pero la realidad es que esta
tecnología está todavía en pañales y se deben de resolver varios obstáculos técnicos y de
regulación antes de que las redes inalámbricas sean utilizadas de una manera general en los
sistemas de cómputo de la actualidad.
No se espera que las redes inalámbricas lleguen a remplazar a las redes cableadas. Estas ofrecen
velocidades de transmisión mayores que las logradas con la tecnología inalámbrica. Mientras que
las redes inalámbricas actuales ofrecen velocidades de 54 Mbps, las redes cableadas ofrecen
velocidades de 100 Mbps y se espera que alcancen velocidades de hasta 10 Gbps. Los sistemas
de Cable de Fibra Óptica logran velocidades aún mayores, y pensando futuristamente se espera
que las redes inalámbricas alcancen velocidades 108 Mbps en el estándar 802.11g
Sin embargo se pueden mezclar las redes cableadas y las inalámbricas, y de esta manera generar
una Red Híbrida y poder resolver los últimos metros hacia la estación. Se puede considerar que el
sistema cableado sea la parte principal y la inalámbrica le proporcione movilidad adicional al
equipo y el operador se pueda desplazar con facilidad dentro de un almacén o una oficina. Existen
dos amplias categorías de Redes Inalámbricas:
De Larga Distancia.- Estas son utilizadas para transmitir la información en espacios que pueden
variar desde una misma ciudad o hasta varios países circunvecinos mejor conocido como Redes
de Área Metropolitana MAN; sus velocidades de transmisión son relativamente bajas, de 4.8 a 19.2
Kbps.
De Corta Distancia.- Estas son utilizadas principalmente en redes corporativas cuyas oficinas se
encuentran en uno o varios edificios que no se encuentran muy retirados entre si, con velocidades
del orden de 280 Kbps hasta los 2 Mbps.
Existen dos tipos de redes de larga distancia: Redes de Conmutación de Paquetes públicas y
privadas y Redes Telefónicas Celulares. Estas últimas son un medio para transmitir información de
alto precio. Debido a que los módems celulares actualmente son más caros y delicados que los
convencionales, ya que requieren circuiteria especial, que permite mantener la pérdida de señal
cuando el circuito se alterna entre una célula y otra. Esta pérdida de señal no es problema para la
comunicación de voz debido a que el retraso en la conmutación dura unos cuantos cientos de
milisegundos, lo cual no se nota, pero en la transmisión de información puede hacer estragos.
Otras desventajas de la transmisión celular son:
• La carga de los teléfonos se termina fácilmente.

• La transmisión celular se intercepta fácilmente (factor importante en lo relacionado con la
seguridad).
• Las velocidades de transmisión son bajas.
Todas estas desventajas hacen que la comunicación celular se utilice poco, o únicamente para
archivos muy pequeños como cartas, planos, etc... Pero se espera que con los avances en la
compresión de datos, seguridad y algoritmos de verificación de errores se permita que las redes
celulares sean una opción redituable en algunas situaciones.
La otra opción que existe en redes de larga distancia son las denominadas: Red Pública De
Conmutación De Paquetes Por Radio. Estas redes no tienen problemas de pérdida de señal
debido a que su arquitectura está diseñada para soportar paquetes de datos en lugar de
comunicaciones de voz. Las redes privadas de conmutación de paquetes utilizan la misma
tecnología que las públicas, pero bajo bandas de radio frecuencias restringidas por la propia
organización de sus sistemas de cómputo.
Las nuevas posibilidades que ofrecen las WLANs son: permitir una fácil incorporación de nuevos
usuarios a la red, ofrecer una alternativa de bajo costo a los sistemas cableados, además de la
posibilidad para acceder a cualquier base de datos o cualquier aplicación localizada dentro de la
red.
Los hornos de microondas y algunos teléfonos inalámbricos (no los celulares) interfieren las
señales de la red inalámbrica. Muros, paredes y objetos metálicos como archivadores y lockers
también afectan la calidad de la señal. Mantengase lejos de este tipo de elementos en lo posible
para que la señal no tenga interferencias y problemas.
Las nuevas posibilidades que ofrecen las WLANs son: permitir una fácil incorporación de nuevos
usuarios a la red, ofrecer una alternativa de bajo costo a los sistemas cableados, además de la
posibilidad para acceder a cualquier base de datos o cualquier aplicación localizada dentro de la
red.
La velocidad máxima de transmisión inalámbrica de la tecnología 802.11b es de 11 Mbps. Pero la
velocidad típica es solo la mitad: entre 1.5 y 5 Mbps dependiendo de si se transmiten muchos
archivos pequeños o unos pocos archivos grandes. La velocidad máxima de la tecnología 802.11g
es de 54 mbps. Pero la velocidad típica de esta última tecnología es solo unas 3 veces más rápida
que la de 802.11b: entre 5 y 15 mbps.
Resumiendo, las velocidades típicas de los diferentes tipos de red son:
• Ethernet 10/100mbps con cables: aproximadamente entre 20 y 50 mbps (ésta es la

tecnología más común en redes cableadas).
• 802.11b inalámbrica: aproximadamente entre 1.5 y 5 mbps.
• 802.11g inalámbrica: aproximadamente entre 4 y 15 mbps.
El alcance típico de ambas tecnologías varía entre 20 y 200 metros dependiendo de si hay o no
obstáculos, paredes, etc. por en medio. Este es un alcance típico, que se puede aumentar con
tarjetas y router o puntos de acceso de más potencia, o bien incorporando antenas más o menos
direccionales. También existen puntos de acceso que pueden funcionar como repetidores de la
señal del punto de acceso principal y extienden su alcance.
Los usuarios móviles, cuyo número crece día a día, son indudables candidatos a las redes LAN
inalámbricas. El acceso portátil a las redes inalámbricas se realiza a través de equipos portátiles y
NIC inalámbricas. Esto permite al usuario viajar a distintos lugares (salas de reunión, vestíbulos,
salas de espera, cafeterías, aulas, etc.) sin perder el acceso a los datos de la red. Sin el acceso
inalámbrico, el usuario tendría que llevar consigo pesados cables y disponer de conexiones de
red.
Más allá del campo empresarial, el acceso a Internet e incluso a sitios corporativos podría estar
disponible a través de zonas activas de redes inalámbricas públicas. Los aeropuertos, los
restaurantes, las estaciones de tren y otras áreas comunes de las ciudades se pueden dotar del
equipo necesario para ofrecer este servicio. Cuando un trabajador que está de viaje llega a su
destino, quizás una reunión con un cliente en su oficina, se puede proporcionar acceso limitado al
usuario a través de la red inalámbrica local. La red reconoce al usuario de la otra organización y
crea una conexión que, a pesar de estar aislada de la red local de la empresa, proporciona acceso
a Internet al visitante.
En los inicios de la tecnología inalámbrica, los procedimientos y mecanismos de seguridad eran tan
débiles que podía ganarse acceso con relativa facilidad hacia redes WLAN de compañías desde la
calle.
Existe el término “wardriving”, que se refiere a la acción de recorrer una ciudad para buscar la
existencia de redes inalámbricas y ganar acceso a ellas. En la actualidad, existen técnicas más
sofisticadas y complejas, las cuales fortalecen los inconvenientes de los mecanismos WLAN y
ayudan a mantener la confidencialidad y resistencia ante los ataques dirigidos hacia este tipo de
redes.
El estándar inalámbrico 802.11 original incorpora encriptación y autenticación WEP (Privacidad

Equivalente a Cable). Sin embargo, en el 2001 se publicaron artículos que comunicaban las
deficiencias que enfrentaba dicho mecanismo. Al interceptar y decodificar los datos transmitidos en
el aire, y en cuestión de horas en una red WLAN con tráfico intenso, la clave WEP puede ser
deducida y se puede ganar acceso no autorizado. Esta situación desencadenó una serie de
acciones por parte del IEEE y de la industria para mejorar la seguridad en las redes de tecnología
inalámbrica.
La seguridad WLAN abarca dos elementos: el acceso a la red y la protección de los datos
autenticación y encriptación, respectivamente. Las violaciones a la seguridad de la red inalámbrica,
generalmente, vienen de los puntos de acceso no autorizados, aquéllos instalados sin el
conocimiento de los administradores de la red, o que operan con las funcionalidades de protección
deshabilitadas que es la configuración por omisión en los dispositivos inalámbricos.
Estos “hoyos” en la seguridad, pueden ser aprovechados por personal no autorizado (hackers),
que en caso de que logren asociarse con el punto de acceso, ponen en riesgo no únicamente la
infraestructura inalámbrica, sino también la red alámbrica a la cual se conecta. La tabla siguiente
contiene los mecanismos de seguridad usados en redes WLAN, así como las ventajas y
desventajas de cada uno de ellos.
En 2007 viviremos en un mundo en el que no existan cables. Que el mundo vive en continua
revolución es un hecho ya por todos conocidos. Llegaremos a un mundo en el que no existirán
cables. Una existencia inalámbrica. Según informa PC Actual, la empresa Toshiba acaba de
publicar el segundo estudio acerca de la tecnología inalámbrica y, entre las conclusiones a las que
han llegado se encuentra la afirmación de que el mercado se multiplicará por 15 para entonces.
Para todos, empresas y particulares, están bastante claras las bondades de la tecnología
inalámbrica, el despegue de ésta dependerá del precio de los dispositivos y de que los fabricantes
incorporen funcionalidades wireless en sus productos. Según el segundo informe sobre tecnología
inalámbrica en España realizado por Toshiba, el mercado wireless será uno de los que más crezca
en los próximos años. ¿Qué quiere decir esto? Pues nada más y nada menos que, a partir de este
estudio, se puede afirmar que "en 2007 se venderán en nuestro país 1,3 millones de portátiles con
tecnología inalámbrica, frente a los 600.000 que se estima serán vendidos este año. De éstos, el
55 por ciento serán adquiridos por usuarios domésticos y del sector de la educación, mientras que
el 45 por ciento restante será comprado por el mercado profesional." Toda una revolución que nos
lleva hacía las redes inalámbricas domésticas. Una parte de este cambio se puede observar ya hoy
en día al ver cifras como que un 15 por ciento de los portátiles con tecnología inalámbrica son para
el hogar. Toshiba señala en su estudio que 2005 será el año del despegue total de la tecnología
inalámbrica en nuestro país, hasta llegar en 2007 a una cifra de mercado que superará los 2.200
millones de euros entre ordenadores portátiles, puntos de acceso, tarjetas inalámbricas y PDA con
tecnología wireless.
Tenga en cuenta que la velocidad de una red inalámbrica es menor a la de una cableada, además
entre más usuarios estén conectados menor será la velocidad para cada uno. Esto quiere decir
que las páginas y los archivos serán descargados en forma más lenta y habrá servicios como los
vídeos en línea y aplicaciones con sonido y movimiento que no tendrán buena calidad.
El tráfico que viaja por las redes inalámbricas no se encuentra encriptado, por ello la información
podría ser leída por alguien que posea una tarjeta de red inalámbrica y herramientas de monitoreo.
Recomendamos ser muy cuidadoso a la hora de suministrar información sensible como
contraseñas y números de tarjetas de crédito. Esto solo debería realizarse en sitios de confianza y
que posean el protocolo Web seguro (direcciones que comienzan por https://).
Recuerde no compartir carpetas durante el tiempo que este conectado a la red inalámbrica porque
otros podrían copiar o borrar los archivos que allí tenga. Si necesita hacerlo recomendamos tener
las carpetas compartidas con una buena contraseña (mínimo 8 caracteres y que incluya números,
letras y caracteres especiales).
Artículos
(Reglamento del Servicio)
8.1 El servicio debe ser utilizado solamente para fines académicos y de investigación.
8.2 No se permite intentar el ingreso no autorizado a cualquier dispositivo o sistema de la Red-

UJAT.
8.3 No se permite usar programas que recolectan paquetes de datos de la red inalámbrica.
8.4 No se permite alquilar a terceros el servicio de navegación en Internet utilizando equipos

conectados a la red inalámbrica de la UJAT.
8.5 No se permite instalar, ni operar puntos de acceso en la red cableada de la UJAT, diferentes a
los instalados por el Departamento de redes para prestar el servicio.
8.6 No se permite configurar las tarjetas inalámbricas como puntos de acceso dentro de la Red-
UJAT.
8.7 El servicio de red inalámbrica está disponible para los miembros de la comunidad
universitaria (estudiantes, administrativos y profesores).
8.8 Todos los usuarios de la red inalámbrica deben autenticarse mediante contraseña para hacer
uso del servicio.
(Sobre la tecnología)
8.9 La red inalámbrica de la UJAT utiliza los estándares 802.11b y 802.11g. Por ello las tarjetas de
red inalámbrica deben poseer la certificación Wi-Fi™ de estos estándares en lo posible
8.10 El protocolo de comunicaciones utilizado es TCP/IP
(Sobre el uso del servicio)
8.11 El Departamento de redes se reserva el derecho de limitar el ancho de banda de cada

conexión según sea necesario para asegurar la confiabilidad y desempeño de la red.
8.12 El usuario es el único responsable de la seguridad de la información que tenga en su equipo

y que maneje utilizando el servicio de red inalámbrica.
8.13 Toda la información que es transmitida en este servicio viaja de forma insegura (no
encriptada), a excepción del usuario y contraseña utilizados para autenticarse en la red
inalámbrica. La UJAT no se hace responsable de la información que viaje por este medio.
8.14 Deberá tomar en cuenta los aparatos y/o dispositivos que puedan ocasionar interferencias en
las transmisiones inalámbricas, tanto antes como después de su implementación o instalación.
9. Política de encriptación aceptable
Antecedentes
Una medida de seguridad estándar en un sistema de computadora personal es intentar iniciar

desde un disco flexible antes de intentarlo desde el disco duro. Esto protege a los usuarios contra
fallas en el disco duro y particiones de inicio dañadas. Lamentablemente, también agrega la
conveniencia de iniciar diferentes sistemas operativos. Esto podría significar que alguien con
acceso físico a un sistema pudiera desviar las funciones de seguridad integradas del control de
acceso al sistema de archivos Microsoft® Windows NT®, utilizando una herramienta para leer las
estructuras en disco Windows NTFS. Varias configuraciones de hardware proporcionan funciones
como una contraseña para restringir este tipo de acceso. Dichas funciones no se utilizan
comúnmente, y en un ambiente típico, donde varios usuarios comparten una estación de trabajo,
no funcionan adecuadamente. Incluso si estas funciones fueran universales, la protección que
brinda una contraseña no es muy sólida.
Entre los escenarios típicos donde el acceso a datos no autorizado se vuelve un problema, se
incluyen:
Una laptop robada
En tan solo un instante alguien puede llevarse una laptop no vigilada. ¿Qué pasa si el ladrón no
pretende revender la computadora, sino que está interesado en la información importante
almacenada en su disco duro?
Acceso no restringido
Los sistemas de escritorio Office se dejan sin atender y cualquiera puede llegar y robar información
rápidamente en una computadora que se ha dejado desatendida.
La raíz de estas preocupaciones de seguridad es la información sensible, la cual existe por lo
regular en archivos no protegidos de su disco duro. Puede restringir el acceso a la información
importante almacenada en una partición NTFS si Windows NT es el único sistema operativo que se
puede ejecutar y si el disco duro no se puede retirar físicamente. Si alguien desea realmente
obtener la información, no es difícil que pueda tener acceso físico a la computadora o al disco duro.
La disponibilidad de las herramientas que permiten acceder a los archivos NTFS desde los
sistemas operativos MS-DOS y UNIX hace que el desvío de seguridad de NTFS sea aún más
sencillo.
La encriptación de datos es la única solución para este problema. Existen varios productos en el
mercado que permiten la encriptación de archivos a nivel de aplicaciones, utilizando claves
derivadas de las contraseñas. Sin embargo, existen ciertas limitantes con la mayoría de estos
enfoques.
El propósito de esta política es perfilar un uso aceptable del equipo en las computadoras de la
UJAT. Estas reglas están en posición de proteger a los empleados de la institución. El uso
impropio expone a la misma a riesgos, incluso ataques de virus, problemas legales y compromisos
de sistemas de red y servicios.
Esta política se aplica a los empleados, estudiantes, especialistas, temporales y otros trabajadores
de la UJAT. Incluso todo el personal afiliado como terceras partes. También, se aplica a todo el
equipo que posea o alquile la institución.
Artículos
(Algoritmos normales probados como DES)
9.1 En los algoritmos normales probados como DES, deben usarse Blowfish, RSA, RC5 e IDEA
como base para tecnologías de encripción. Estos algoritmos representan la cifra actual usada para
una aplicación aceptada. Por ejemplo, la red de asociados Pretty Good Privacy (PGP) usa una
combinación de IDEA y RSA o Diffie-Hillman, mientras que Secure Socket Layer (SSL) usa
encripción RSA. Las llaves del Cripto-sistema simétrica deben ser de longitudes importantes, por lo
menos de 56 bits. Las llaves del cripto-sistema asimétrica deben ser de una longitud de resistencia
en rendimiento equivalente. La compañía deberá analizar los requisitos para la longitud de las
llaves anualmente y permitirá la actualización de la tecnología.
9.2 No sé permiten algunos propósitos para el uso de algoritmos de proprietary encryption, a

menos que sea analizado por expertos calificados exteriores del vendedor en cuestión y aprobado
por InfoSec. Hay que ser conscientes que la exportación de tecnologías de encripción es
restringida por el gobierno americano. Los residentes de otros países, fuera de los Estados Unidos
deberán hacer conciencia de las leyes en tecnología de encripción del país en el que ellos residan.
10. Política de uso aceptable
Antecedentes
Las intenciones de InfoSec al publicar una política de uso aceptable es el de no imponer

restricciones contrarias a las de la compañía, ya establecidas como son: la cultura de franqueza,
confianza e integridad. InfoSec se compromete a proteger a los empleados de las compañías, y
asociados de la compañía, de acciones ilegales o perjudiciales por individuos a sabiendas o
ignorándolo.
Los sistemas relacionados con Internet/Intranet/Extranet, incluyen pero no limitan el equipo de la

computadora, software, sistemas operativos, medios de comunicación de almacenamiento, cuentas
de red que proporcionan correo electrónico, hojas WWW y FTP, propiedad de la compañía. Estos
sistemas serán usados para propósitos de negocio sirviendo a los intereses de la compañía, de
nuestros clientes y al de clientes en el curso de operaciones normales.
La seguridad eficaz es un esfuerzo de equipo, que involucra la participación y apoyo de cada

empleado y afiliado de la compañía que trata con información y/o sistemas de información. Es
responsabilidad de cada usuario de una computadora saber estos principios, y dirigir con armonía
sus actividades.
El propósito de esta política es perfilar un uso aceptable del equipo en las computadoras de la
compañía. Estas reglas están en posición de proteger a los empleados de la compañía. El uso
impropio expone a la compañía a riesgos, incluso ataques de virus, problemas legales y
compromisos de sistemas de red y servicios.
Esta política se aplica a los empleados, contratistas, especialistas, temporales y otros trabajadores
de la institución, incluso todo el personal afiliado como terceras partes. También, se aplica a todo el
equipo que posea o alquile la compañía.
Artículos
(Propiedad y uso general)
10.1 Mientras las compañías conectan una red de computadoras, la administración desea
proporcionar un nivel razonable de intimidad, los usuarios deben de ser conscientes de que los
datos que crean en el resto de los sistemas corporativos son propiedad de la compañía. Debido a
la necesidad de proteger las redes de computadoras en las compañías, la administración no puede
garantizar la confidencialidad de la información guardada en cualquier dispositivo de la red que
pertenezca a la compañía.
10.2 Los empleados son responsables de ejercer un buen juicio con respecto al uso razonable
personal. Los departamentos individuales son responsables de crear principios con respecto al uso
personal de sistemas como Internet/Intranet/Extranet. En ausencia de tales políticas, los
empleados deben ser guiados por políticas departamentales de uso personal, y si existe alguna
duda, los empleados deben consultar a su supervisor o gerente.
10.3 InfoSec recomienda, considerar el usar alguna información encriptada sensible o vulnerable.
Para los principios de clasificación de información, vea la política de sensibilidad de información de
InfoSec. Para los principios de encripción en el e-mail y documentos, vaya a la iniciativa de
conocimientos de InfoSec.
10.4 La política de auditoria de InfoSec, propone para la seguridad y el mantenimiento de la red,

supervisar equipos, sistemas y tráficos de la red en cualquier momento por individuos autorizados
dentro de la compañía.
10.5 La compañía, se reserva el derecho de intervenir en los sistemas y redes en base periódica y
asegura conformidad con esta política.
(Información de propiedad y seguridad)
10.6 La interfase del usuario para información contenida en sistemas relacionados como
Internet/Intranet/Extranet, debe ser clasificada como confidencial o no confidencial, como se ha
definido por los principios de confidencialidad corporativas, detalles que pueden encontrarse en
políticas de Recursos Humanos. Ejemplos de información confidencial que se incluyen pero no se
limitan son: Compañías privadas, estrategias corporativas, sensible competidor, secretos de
comercio, especificaciones, lista de clientes, e investigación de datos. Los empleados deben seguir
todos los pasos necesarios par prevenir el acceso desautorizado a esta información.
10.7 Guardar seguras las contraseñas y no compartir cuentas. Los usuarios autorizados son
responsables de la seguridad de sus cuentas y contraseñas. El sistema debe cambiar
trimestralmente el nivel de contraseñas, y los usuarios deben cambiar cada seis meses el nivel de
contraseñas.
10.8 Use encripción de información de acuerdo con el uso de políticas de encripción aceptables de
InfoSec.
10.9 Proteja las laptops de acuerdo con los tips para seguridad portátil. A causa de que la
información contenida en computadoras portátiles es especialmente vulnerable y debe ejercerse
cuidado especial.
10.10 Las direcciones de e-mail enviadas por empleados de la compañía a grupos de noticias debe
contener una rectificación que declare que las opiniones expresadas son estrictamente propias y
no necesariamente de la compañía, a menos que sean enviados en la dirección de asuntos
comerciales.
10.11 Todas las computadoras usadas por empleados de la compañía que estén conectadas a
Internet/Intranet/Extranet, deberán software aceptados de virus, que deberán tener los empleados
de la compañía para que sean examinadas continuamente por un banco de datos de virus
actuales. A menos que pasen por encima del grupo de políticas departamentales.
10.12 Los empleados deben tener precaución extrema al abrir vínculos de e-mail recibidos de
remitentes desconocidos que pueden contener virus, bombardeos de e-mail, o el código de caballo
de Troya.
(Sistemas y actividades de la red)
Las siguientes actividades se prohíben estrictamente, sin excepciones:
10.13 Las violaciones a los derechos de cualquier persona o compañía protegidas por Copyright,
como son: comercio secreto, patentes u otra propiedad intelectual, regulaciones o leyes similares
que incluyen pero no limitan a la instalación o distribución de “pirateo” u otros productos de
software que no son autorizados para uso apropiado de la compañía.
10.14 La copia desautorizada de material que incluye derecho de propiedad, pero no limita
propiedades registradas como son: la digitalización y distribución de fotografías para revistas, libros
u otras fuentes con propiedades registradas, así como música con propiedades registradas.
10.15 La violación de leyes de controles de exportación internacionales o regionales, de forma

ilegal para la exportación de software, información técnica y tecnología o software de encripción.
La administración apropiada debe consultar antes de exportar cualquier material en cuestión.
10.17 La introducción de programas malévolos en el servidor o en la red, por ejemplo: virus,

gusanos, caballos de Troya, bombardeos de e-mail, etc.
10.18 Revelar su contraseña de cuenta a otros, permitiendo su uso a otras personas. Esto incluye
a la familia u otros miembros de la casa cuando se este trabajando en esta.
10.19 Usar el nombre de la compañía para comprometer recursos de cómputo vigentes,

transmitiendo o probando material que esta en violación de hostigamiento sexual o leyes opuestas
al lugar de trabajo en la jurisdicción local del usuario.
10.20 La fabricación de ofertas fraudulentas de productos, artículos, o servicios que se originen de

cualquier cuenta de la compañía.
10.21 Hacer declaraciones sobre la garantía, expresamente o implícitamente, a menos que sea
parte de deberes normales de trabajo.
10.22 Efectuar brechas de seguridad o rupturas que conectan una red de comunicación de
computadoras. Las brechas de seguridad incluyen, pero no limitan, el acceso de datos para los
empleados no como destinatarios intencionales, o anotar en un servidor o cuenta que el empleado
no está autorizado para acceder expresamente, a menos que estos deberes estén dentro del
alcance de los deberes regulares. Para los propósitos de esta sección, “ruptura” incluye, pero no
limita a, el olfateo de red, pinged floods, packet spoofing, rechazo de servicio, y forjar el fracaso de
información para propósitos malévolos.
10.23 Se prohíbe expresamente examinar los puertos o examinar la seguridad a menos que se
haga con anterioridad la notificación a la compañía.
10.24 Ejecutar cualquier forma de red que supervise o intercepte datos no queridos de la
computadora de los empleados, a menos que esta actividad sea parte del deber de trabajo normal
del empleado.
10.25 Engañar la autenticación del usuario o seguridad de cualquier computadora, red o cuenta.
10.26 Interferir o negar el servicio a cualquier otro usuario de las computadoras de los empleados
(por ejemplo, el rechazo de un ataque de servicio).
10.27 Usar cualquier Programa/escritura/comando, o enviar mensajes de cualquier tipo, con el

intento de interferir o desactivar, el término de sesión de un usuario, ya sea localmente, o por
cualquier medio o vía Internet/Intranet/Extranet.
10.28 Proporcionar listas de información sobre los empleados que forman parte de la compañía.
(Actividades de comunicación y e-mail)
10.29 Enviar mensajes de e-mail no solicitados, incluso enviar “correos basura” u otro material de
publicidad a individuos que no pidieron específicamente tal material (e-mail SPAM).
10.30 Cualquier forma de hostigamiento vía e-mail, compaginación de teléfono, a través del idioma,
frecuencia o tamaño del mensaje.
10.31 Uso desautorizado o forjado, de títulos de información de e-mail.
10.32 La solicitud de e-mail para cualquier otra dirección de e-mail, es otra forma de cartelera de
cuentas, con el fin de atormentar o coleccionar contestaciones.
10.33 Crear o remitir esquemas de cualquier tipo como “cadena de cartas”, “ponzi” u otra
“pirámide”
10.34 El uso no solicitado de e-mail que se originan dentro de la compañía conecta una red de
computadoras de otro Internet/Intranet/Extranet en nombre de servicios de proveedores, o para
anunciar, cualquier servicio de hosted por la compañía o se conecta vía red de las compañías.
10.35 Mandar por correo los mismos mensajes o similares no-negocio-relacionados a los grandes
números de grupos de noticias usenet (news group spam).

Antecedentes
Si bien sus orígenes se remontan a los años 60, es a partir de 1988 cuando el CCITT ratifica a
ATM como la tecnología para el desarrollo de las redes de banda ancha, apareciendo los primeros
estándares en 1990. Las redes de banda ancha se basa en la tecnología de ATM, además ATM
es una tecnología que se repite y se utiliza cada vez más en estos días en los ambientes
Informáticos y de Telecomunicaciones. La tecnología llamada Asynchronous Transfer Mode (ATM)
Modo de Transferencia Asíncrona es el corazón de los servicios digitales integrados que ofrecerán
las nuevas redes digitales de servicios integrados de Banda Ancha (B-ISDN). A esto los nuevos
tipos de datos, aplicaciones y requerimientos de los usuarios de este tipo de servicios obligó al
desarrollo de una nueva tecnología que permitiera ofrecer este nuevo nivel de servicio. La nueva
tecnología debería ser, además, lo suficientemente flexible como para asegurar un crecimiento
rápido hacia las nuevas demandas que aparecerían en el futuro. Aquí los operadores de redes
públicas y privadas imponen una voraz demanda de anchos de bandas mayores y flexibles con
soluciones robustas. La tecnología ATM a pesar de su estrecha relación con ISDN después de un
largo periodo de investigación y de diversas propuestas de diferentes comités, ATM se define
como la nueva generación de tecnología para la red digital de banda ancha.
Este documento explica el uso y la política aceptable en la aprobación y procedimientos de la línea

ISDN y analógica de las compañías. Esta política cubre dos usos distintos de líneas
ISDN/Análoga: líneas que serán conectadas para el solo propósito de enviar y recibir fax, y líneas
que serán conectadas a las computadoras.
Esta política cubre sólo esas líneas dentro de las que serán conectadas a un punto del edificio de
la compañía y los sitios probados. No pertenece a líneas ISDN: líneas telefónicas que se conectan
en casas de los empleados, telefonía desktop PBX, y otras líneas usadas por Telecom., para
emergencia y propósitos de información no-corporativas.
Artículos
11.1 Las redes ISDN/Analógicas son una extensión de la Red-UJAT y aplican las mismas
restricciones de seguridad de esta red
11.2 Las cuentas para acceder al servicio remoto mediante líneas analógicas (módems) son
administradas por el Departamento de redes.
11.3 El servicio de ISDN para videoconferencia y otras funciones esta administrado por el
Departamento de redes.
12. política de auditoria
Antecedentes
Una auditoria es un examen crítico que se realiza con el fin de evaluar la fiabilidad, eficacia y
eficiencia de un sistema. Es un examen crítico, pero no mecánico, que no implica la preexistencia
de fallos y que pretende evaluar y mejorar la fiabilidad y eficacia de la entidad auditada. La función
auditora no tiene carácter ejecutivo, ni son vinculantes sus decisiones. Queda a cargo de la
empresa tomar las decisiones pertinentes. La auditoria simplemente refleja en su informe final
sugerencias y planes de acción para eliminar las disfunciones y debilidades detectadas. Las partes
más generales de una auditoria de seguridad de un sistema son: Auditoria física, Auditoria lógica,
Auditoria administrativa, Auditoria de la seguridad de los Sistemas Operativos y Auditoria de
protección de la Información de la empresa.
En su continua apuesta por el Software Libre Igalia, utiliza principalmente herramientas libres
disponibles en GNU/Linux. Los beneficios de usar este tipo de software en trabajos de auditoria de
seguridad son enormes y numerosos.
El Software Libre es analizado y auditado por miles de colaboradores. Esto reduce drásticamente
la posibilidad de que algunos programadores inserten en sus programas puertas traseras, caballos
de Troya o cualquier otra clase de código malicioso en sus programas. En este sentido, el Software
Libre es más fiable que el código propietario.
La función de la auditoria se materializa por escrito en el informe final. En este informe se definen
los objetivos y alcance de la auditoria, se enumeran todos los temas objeto y, para cada tema, se
expone la situación actual, los puntos débiles y amenazas, y las recomendaciones y/o planes de
acción.
Infosec, para mantener la autoridad en los miembros de las compañías dirige a los equipos una
auditoria de seguridad para cualquier sistema de la compañía.
Las auditorias pueden dirigirse a:
• Asegurar la integridad, confidencialidad y disponibilidad de recursos e información.

• Investigar los posibles incidentes de seguridad que aseguran la conformidad en las
políticas de seguridad de la institución.
• Controlar usuarios o actividades de sistemas apropiadas.
Esta política cubre a todas las computadoras y dispositivos de comunicación que posea u operen
para la institución. Esta política también cubre cualquier computadora y dispositivo de
comunicación en los que estén presentes las premisas de la institución, pero que no pueden
poseerse u operarse por la institución.
Artículo
12.1 Se deben realizar auditorias periódicas a la Red-UJAT
12.2 Las auditorias las realizará el Departamento de Redes
12.3 Se emitirán reportes para documentar las anomalías o fallas encontradas.

12.4 Los reportes detallaran el número de computadoras, usuarios y sistemas involucrados

Antecedentes
La Tecnología tiene la capacidad para abrir las puertas a un vasto mundo de recursos de
información, así como de personas, a cualquier estudiante o miembro de la comunidad
Universitaria con una conexión a Internet. Las oportunidades que tenemos con esta conectividad
son casi ilimitadas, mas no así los recursos computacionales y de conectividad disponibles. Este
nuevo mundo virtual al que tenemos acceso requiere de reglas y precauciones, para asegurar un
uso óptimo y correcto de los recursos. En este sentido, la UJAT creen firmemente en que el
desarrollo de políticas que sean bien entendidas, que circulen ampliamente y que sean
efectivamente implementadas, conllevará a hacer de la Red-UJAT y el Internet un ambiente seguro
y productivo para estudiantes y miembros en general de la comunidad universitaria.
Se trata entonces de presentar lo que se conoce como Políticas y Reglamentos para el Uso
Aceptable para los recursos computacionales y de conectividad presentes en la Red-UJAT. Estas
políticas establecen, entre otras cosas, el comportamiento esperado de los miembros de la
comunidad universitaria hacia diferentes servicios de información (e-mail, www, news, etc.) y las
reglas en cuanto al uso adecuado de. Recursos físicos. Estas políticas de uso son un reflejo directo
de los códigos de conducta vigentes en UJAT y representan explícitamente la cultura institucional
de nuestra Universidad. Además, han sido elaboradas y revisadas por las autoridades
competentes, tomando en cuenta su viabilidad y aplicabilidad a las condiciones y características
del UJAT
El propósito de esta política es proteger la información electrónica accesada mediante usuarios
remotos de la UJAT. De ser comprometida inadvertidamente por personal autorizado que usa un
dial-in para conexión. Todos los usuarios que ingresen a los sistemas de la Red-UJAT. Mediante
acceso remoto (dial-in) deben ser identificados antes de obtener acceso a los sistemas. Por lo
tanto, dicho acceso debe ser controlado por un equipo que permita la autentificación de los
usuarios al conectarse a la red de datos.
Artículos
13.1 No se proporcionará la información de acceso remoto/dial-in a ninguna otra persona,

incluyendo estudiantes amigos, miembros de facultad y empleados. Los recursos disponibles son
limitados y deben ser para los miembros de la comunidad Universitaria. Bajo ninguna circunstancia
compartirá su username y password con ningún otro.
13.2 La Red-UJAT. No provee soporte para el hardware (módems) o su línea telefónica. Si tiene
algún problema con su hardware es su responsabilidad leer sus manuales de hardware, y de ser
necesario, contactar al fabricante para soporte técnico. Los detalles relacionados con la calidad de
la línea telefónica deben ser dirigidos a su proveedor de servicio telefónico.
13.3 El control del contenido del RAS es el mismo que en toda la Red-UJAT
Última revisión fecha _______________________________
14. Política de seguridad para laboratorio DMZ
Antecedentes
Un servidor de seguridad es un mecanismo para controlar el flujo de datos entre dos partes de una
red con niveles de confianza diferentes. Los servidores de seguridad se pueden utilizar de distintas
formas para proteger un sitio en Internet. Es posible situarlos delante o detrás de la matriz Web o,
mediante la creación de una conexión adicional en el servidor de seguridad, emplearlos para crear
una red en la que se ubicarán los servidores Web. La decisión del tipo de uso que se dará a los
servidores de seguridad en el diseño final de una red depende de los requisitos de las
aplicaciones, la administración y la disponibilidad.
En el diseño de Microsoft® Internet Data Center se implementan servidores de seguridad
redundantes con el fin de conseguir unas comunicaciones más rápidas y confiables, así como
mantener una gran disponibilidad en una configuración con conmutación tras error.
Los requisitos de las aplicaciones y la administración de la arquitectura de Internet Data Center

exigen el uso de servidores multitarjeta en la red de la zona desmilitarizada (DMZ). Por este motivo
se coloca un conjunto de servidores de seguridad delante y detrás de los servidores Web y de
aplicaciones, con lo que se crea una red de zonas desmilitarizadas y se proporciona una mayor
protección a los servidores que pertenecen a la red interna. Finalmente, se ubica un conjunto de
servidores de seguridad en la red virtual de área local (VLAN) de datos y administración con el
objeto de proporcionar un punto de acceso seguro a la red privada virtual (VPN). Esto significa que
los servidores de seguridad se sitúan en tres áreas de la arquitectura de Internet Data Center. El
primero, ubicado delante de los servidores expuestos a Internet, se denomina de perímetro o de
Internet. El siguiente, que se instala detrás de los servidores expuestos a Internet, se denomina
servidor de seguridad interno. El tercero, conocido como servidor de seguridad de VPN, se utiliza
para proporcionar acceso VPN y se instala en la red de datos y administración.
El servidor de seguridad de perímetro y el conmutador crean la zona desmilitarizada, o VLAN DMZ,

y proporcionan una mayor protección gracias a que controlan el tráfico procedente de Internet y el
que se produce entre los servidores en esta VLAN. El servidor de seguridad interno inspecciona el
tráfico entre los servidores de la zona DMZ y los sistemas de infraestructura y servicios de fondo.
El servidor de seguridad de VPN administra los requisitos de comunicaciones remotas en lo que
respecta a la administración remota y a cualquier aplicación que se necesite como parte del
desarrollo de sitios Web. Es necesario implementar una solución de servidor de seguridad
totalmente redundante para que la arquitectura pueda garantizar una gran disponibilidad. En la
figura siguiente se ilustra la implementación de servidores de seguridad de Internet Data Center.
Esta política establece requisitos de seguridad de información para todas las redes y equipos
desplegados en los laboratorios localizados dentro de la “zona de-militarizada” (DMZ) en la
compañía. La adhesión a estos requisitos minimizará el riesgo potencial de la compañía a daños
de imagen pública causados por el uso desautorizado de los recursos de la UJAT, y la pérdida
sensible de datos confidenciales y propiedad intelectual de la UJAT.
Están sujetos a esta política, los laboratorios que conectan una red de computadoras y dispositivos
(incluyendo pero no limitando a los routers, switches, hosts, etc.), de la UJAT para el Internet
que se enfrenta y localiza fuera de la UJAT, los firewalls de Internet corporativos que son
considerados parte del laboratorio DMZ.
La localización y localizaciones remotas incluyen los laboratorios DMZ de Proveedores de Servicio

en Internet primario (ISP). Todos los futuros equipos y los que ya existen, deben configurarse y
clasificarse bajo el alcance de esta política según los documentos de referencia. Esta política no se
aplica a laboratorios que residan dentro de los firewals de Internet corporativos en la UJAT. Se
definen normas para estos laboratorios en la política de seguridad de laboratorios interna.
Artículos
(Responsabilidades y propiedad)
14.1 Todo laboratorio DMZ nuevo debe presentar una justificación comercial con una señal fuera
del nivel del vicepresidente de unidad comercial. Infosec debe guardar las justificaciones
comerciales en un archivo.
14.2 Las organizaciones que poseen laboratorios son responsables de asignar a gerentes de
laboratorios, puntos de contacto (POC), y reforzar los POC, para cada laboratorio. Los gerentes de
los laboratorios deben mantener información de los POC al corriente con Infosec y el sistema de
dirección corporativo de la UJAT, si existe uno. Los gerentes de laboratorio o sus apoyos deben
estar disponibles de manera continua para las emergencias.
14.3 Los cambios de conectividad y/o propósitos de existencia de los laboratorios DMZ y el
establecimiento de nuevos laboratorios DMZ deben pedirse a través de la Organización de Apoyo
de Redes de la UJAT y debe ser aprobado por Infosec.
14.4 Todas las conexiones ISP deben mantenerse por la organización de apoyo de red de la
UJAT.
14.5 Una organización de apoyo de red debe mantener un dispositivo de firewall entre los
laboratorios DMZ y el Internet.
14.6 La organización de apoyo de red e Infosec se reservan el derecho de interrumpir conexiones

del laboratorio si existe una preocupación de seguridad.
14.7 El laboratorio DMZ proporcionará y mantendrá dispositivos de la red desplegados en el

laboratorio DMZ al punto de demarcación de la organización de apoyo de la red.
14.8 La organización de apoyo de red debe grabar todos los laboratorios DMZ que dirigen espacios
e información del contacto actual [en el sistema de dirección corporativo de la UJAT, si existe uno.
14.9 Los gerentes de laboratorios DMZ son responsables finalmente de su laboratorio DMZ que
obedece esta política.
14.10 Debe concederse acceso inmediato al equipo y los del sistema a los miembros de Infosec y
a la demanda de la organización de apoyo de red, de acuerdo con la política de auditoria.
14.11 Deben anularse cuentas individuales de laboratorio dentro de 3 días cuando ya no sea
autorizado el acceso. Las contraseñas de cuentas de grupos deben obedecer a la política de
contraseñas y deben cambiarse dentro de 3 días después del cambio en el número de miembros
del grupo.
14.12 Infosec dirigirá una renuncia por incumplimiento pidiendo una base caso por caso.
(Requisitos de Configuración Generales)
14.13 La producción de recursos no debe depender de los recursos de laboratorio DMZ de las
redes.
14.14 Los laboratorios DMZ no deben conectarse a las redes corporativas internas de la compañía
directamente o vía una conexión inalámbrica.
14.15 Los laboratorios DMZ deben estar en un cuarto físicamente separado de cualquier red
interior. Si esto no es posible, los equipos deben estar en una percha cerrada con llave y con
acceso limitado. Además, el gerente debe mantener una lista de quienes tienen acceso al equipo.
14.16 Los gerentes de los laboratorios son responsables de obedecer las políticas relacionadas
siguientes:
• Política de contraseñas
• Política de comunicaciones inalámbricas
• Política de Anti-virus en laboratorios
14.17 La Organización de apoyo de red debe mantener configurados los dispositivos de firewall de
acuerdo con los principios de menor-acceso y las necesidades comerciales de los laboratorios
DMZ. Todos los filtros del firewall serán mantenidos por el Departamento de redes (infosec).
14.18 El dispositivo firewall debe ser el único punto de acceso entre el laboratorio DMZ y el resto
de la conexión a una red de computadoras y/o el Internet de la compañía. Cualquier forma de
conexión cruzada que pase por el dispositivo firewall es prohibida estrictamente.
14.19 Deben repasarse configuraciones del firewall original y además cualquier cambio debe ser
aprobado por Infosec (incluyendo configuraciones generales y reglas establecidas). Infosec
puede requerir seguridad adicional medida tanto como necesite.
14.20 El tráfico interior de la red en los laboratorios DMZ de la UJAT, incluso el acceso VPN, se
clasifican bajo la política de acceso remoto.
14.21 Todos los routers y switches no usados para prueba y/o entrenamiento deben conformar al
router DMZ y los documentos de regularización del switch.
14.22 Los sistemas operativos de todos los hosts internos al laboratorio DMZ deben configurarse
corriendo los servicios de Internet en la instalación segura del host y la configuración standard.
[Agregue las uniones URL al sitio de configuración interna donde se guarden de manera standard].
14.23 Actualmente la seguridad aplicable en parches/hot-fixes para cualquier aplicación de

servicios de Internet que deba aplicarse. Los dueños de grupos administrativos debe tener
procesos en lugares actuales apropiados para parches/hot-fixes.
14.24 Deben instalarse todos los parches/hot-fixes de seguridad aplicables recomendados por el
vendedor. Los dueños de grupos administrativos deben tener procesos en lugares actuales
apropiados para parches/hot-fixes.
14.25 Deben desactivarse los servicios y aplicaciones que no sirven como requisitos comerciales.
14.26 Se prohíbe la información confidencial de la UJAT sobre equipos en laboratorios donde el

personal no tiene acceso físico a la compañía (por ejemplo: laboratorios de entrenamiento), de
acuerdo con la política de clasificación de información sensible.
14.27 La administración remota debe realizarse sobre canales seguros (por ejemplo: las
conexiones encriptadas de las redes usan SSH o IPSEC) o soporte de acceso independiente para
redes DMZ.
15. Política de correo electrónico
Antecedentes
Mucha gente utiliza su nombre verdadero en su dirección de correo electrónico. Por ejemplo:
juanperez@tabasco.com. Es fácil rastrear el correo electrónico y del ejemplo antes dado sabemos
entonces que la persona se llama Juan Pérez, vive en Tabasco y haciendo una búsqueda simple
encontraríamos probablemente el domicilio y teléfono de Juan Pérez utilizando google o altavista.
Ahora es algo fácil ir a una guía de teléfonos en línea y buscar a Juan Pérez, del área de Tabasco.
El directorio telefónico en línea incluso le mostrará un mapa de donde vive Juan y las direcciones
paso a paso que conducen a su casa. ¡Y la persona que realiza la búsqueda ya ha descubierto que
Juan tiene dos encantadoras hijas gemelas de 6 años durante sus charlas en línea con Juan!
Actualmente la UJAT brinda el servicio de correo electrónico a todos sus usuarios, tanto alumnos,
profesores y administrativos. El servicio no se limita al envió de mensajes, sino también para recibir
información de los sistemas tales como calificaciones, seguimiento de egresados, etc.
Es importante contar con un esquema de administración y seguridad para las más de 30, 000
cuentas que existen y que cada vez hacen uso más frecuente de este servicio.
Aunque existan servidores de correo gratuito, estos no garantizan el servicio y la confidencialidad

de la información
• Conducir al uso correcto del sistema de correo institucional UJAT.
• Prevenir la no autorización o el descubrimiento inadvertido de información sensible de la

UJAT.
Artículos
15.1 El servicio de correo electrónico institucional es el principal medio de comunicación de

mensajes para todos los usuarios de la Red UJAT, tanto alumnos, profesores como personal
administrativo y brinda las funcionalidades básicas de los sistemas de correo tradicionales.
15.2 Las cuentas de correo son administradas por el Departamento de redes, con apoyo de los
encargados de cada una de las dependencias de la UJAT
15.3 Se cuenta con un espacio de almacenamiento predefinido de acuerdo a cada tipo de usuario,
el cual puede aumentarse en casos especiales, mediante solicitud escrita al Departamento de
redes
15.4 El servicio se establece para fines académicos, administrativos y de investigación.
15.5 Queda prohibido el envió de correo basura o SPAM. En caso de observar alguna anomalía en
las cuentas o equipos de los usuarios, estos deberán reportarlo al encargado de cómputo de su
dependencia
15.6 El envió de información de los sistemas de la Red-UJAT será solamente a cuentas de correo
institucionales
15.7 En la difusión de eventos en carteles y páginas Web se darán a conocer direcciones de correo
institucional
15.8 La contraseña de las cuenta de correo son personales y es responsabilidad del usuario no
darla a conocer a otras personas
15.9 El usuario aceptara las políticas de uso de correo al momento de la creación de una cuenta
nueva, o en su caso, las políticas actuales en caso de los usuarios existentes.

Antecedentes
Se estima que, en un país desarrollado, una persona genera aproximadamente 150 registros en
bases de datos. Hasta hace poco tiempo estos registros sólo servían para consultas ocasionales, o
con propósitos más específicos, como pueden ser facturación o acciones de marketing, por
ejemplo.
Hoy han adquirido valor comercial y adquieren una relevancia distinta, mucho más trascendente,
en función de tres nuevas circunstancias: primera, ya existe la posibilidad de combinarlos; es decir,
no sólo continúan sirviendo para los usos anteriores sino que permiten, como si fuesen piezas de
un puzzle, ensamblarse con otros datos revelando así la figura de la persona que los genera.
Segunda, ya hay tecnología disponible para acceder rápidamente a ellos, para ponerlos a
disposición del mundo a través de Internet. Tercera, muchas de estas bases de datos se generan y
alimentan automáticamente.
Queremos aclarar que si bien las bases de datos pueden recoger información de cualquier tipo nos
concentraremos en el tema de las bases de datos que contienen información personal.
El 29 de Octubre de 1992 se promulga la Ley Orgánica de Regulación del Tratamiento

Automatizado de Datos de carácter personal (LORTAD). Se crea entonces la Agencia de
Protección de Datos (APD) y es a partir del año 1994 cuando se impone la obligación de inscribir
los ficheros (bases de datos) con datos personales en dicha agencia.
El 11 de Junio de 1999 entra en vigor el Real Decreto que define las medidas de seguridad
adecuadas para ficheros que contengan datos de carácter personal.
Estas medidas, que afectan a todas las empresas, son de tipo jurídica, técnica y organizativa,
siendo necesarias para garantizar la seguridad de los ficheros, los centros de tratamiento, equipos
y personas que intervienen en el tratamiento de los mismos.
Por otra parte, el pasado 14 de Enero de 2000 entró en vigor la nueva Ley Orgánica de Protección
de Datos (LOPD) del 13 de Diciembre que reforma la Ley Orgánica adaptándola a la directiva
comunitaria.
Almacenamiento de nombres de usuarios de bases de datos y Contraseñas.
El usuario de la base de datos puede nombrar y guardar contraseñas en un archivo separado de

la ejecución del cuerpo del código del programa. Este archivo no debe ser mundialmente leíble.
Las credenciales de bases de datos pueden residir en el servidor de la base de datos. En este
caso, se pica un número que identifique a las credenciales que puedan guardarse en el cuerpo de
ejecución del código del programa.
Pueden guardarse credenciales de bases de datos como parte de un servidor de autenticación

(por ejemplo: un directorio entitlement), semejante a un servidor LDAP para uso de autenticación
del usuario. La autenticación de la base da datos puede ocurrir a nombre del programa como
parte del proceso de autenticación del usuario al servidor de autenticación. En este caso, no hay
necesidad del uso programático de credenciales de la base de datos.
Las credenciales de bases de datos no pueden residir en documentos que obliguen a refugiarse
en la forma de un servidor Web.
El paso a través de la autenticación (por ejemplo: la autenticación Oracle OPS) no debe permitir el
acceso a la base de datos solamente en la autenticación de un usuario remoto en un host remoto.
Las contraseñas o frases de paso usadas para acceder a una base de datos deben adherirse a la
política de contraseñas.
Recuperación de nombres de usuarios de bases de datos y Contraseñas.
Si se guardan en un archivo que no es ningún código fuente, entonces el usuario de la base de

datos debe nombrar y leer las contraseñas del archivo inmediatamente antes de usarse.
Inmediatamente la autenticación de la base de datos siguiente, debe liberar o aclarar la memoria
que contiene el nombre del usuario y la contraseña.
El alcance en el que usted pueda guardar las credenciales de las bases de datos deben
separarse físicamente de las otras áreas de código, por ejemplo: las credenciales deben estar
separadas en un archivo fuente. El archivo que contenga las credenciales no debe contener
ningún otro código para las credenciales (el nombre de usuario y contraseña) y cualquier función,
rutina, o método que se use para acceder a las credenciales.
Para lenguajes que ejecutan el código fuente, el archivo fuente de la credencial no debe residir en
el mismo browseable o forma del directorio de archivo ejecutable en los que el cuerpo de
ejecución del código reside.
Acceso a los nombres de usuarios de Bases de Datos y contraseñas
Cada programa o cada colección de programas que llevan a cabo una sola función comercial
deben tener credenciales únicas de la base de datos. No se permite compartir credenciales entre
los programas.
Las contraseñas de las bases de datos usados por programas, son contraseñas de nivel de
sistemas definidas por la política de contraseñas.
Los grupos diseñados deben tener un proceso para dar lugar de asegurar contraseñas de la base
de datos, que se controlan y se cambian de acuerdo a la política de contraseña. Este proceso
debe incluir un método para restringir el conocimiento de contraseñas de bases de datos a una
necesidad básica de saber.
Codificación de técnicas para llevar a cabo esta política: Agregue referencias a pautas de sitios
específicos para diferentes códigos de lenguajes como Perl, Java, C y/o Cpro.
Esta política declara los requisitos para guardar firmemente y recuperar nombres de usuarios de
bases de datos y contraseñas (por ejemplo: credenciales de base de datos) para el uso de un
programa que accederá a una base de datos que ejecuta el encendido de las redes de las
compañías.
El programa de computadora se corre dentro de las redes de las compañías, requieren a menudo
el uso de uno de los muchos servidores de bases de datos internos. Para acceder a una de estas
bases de datos, un programa debe de autenticar a la base de datos presentando credenciales, que
sean aceptables. Los privilegios en las bases de datos significan que las credenciales se pueden
restringir o comprometer cuando estas credenciales se guarden inadecuadamente.
Esta política aplica a todo software al que tenga acceso la compañía, y bases de datos de
producción de multi-usuario.
Artículos
16.1 Para mantener la seguridad de las bases de datos internas de la compañía, el acceso a
programas de software sólo debe concederse después de la autenticación de credenciales. Las
credenciales usadas para esta autenticación no residen en lo principal, que es el ejecutar el cuerpo
del código fuente del programa en un texto claro. No deben guardarse credenciales de bases de
datos en situaciones en las que se pueda acceder a través de un servidor Web.
(Los demás artículos requieren la intervención del ABD)
Acrónimos utilizados dentro de las políticas de seguridad UJAT

ABD-SIIA: Administrador de las bases de datos del Sistema Integral de Información Administrativa de la
UJAT
ACL: Lista de control de acceso
APD: Agencia de Protección de Datos
ASC-UJAT: Área de Seguridad en Computo de la Universidad Juárez autónoma de Tabasco
ATM: Modo de transmisión asíncrono
B-ISDN: Redes Digitales de Servicios Integrados de Banda Ancha
CAI: (Computer Aided Instruction). Instrucción asistida por computadora
CAV: Comité de asesor de vacunas
CCICB: Centro de Cómputo de Investigación de Ciencias Básicas
CCITT: Comité Consultivo Internacional Telegráfico y Telefónico
CGI: (Common Gateway Interface; Interfase común de acceso)
Closet de comunicaciones. (site). Es el cuarto o área física reservado para alojar los servidores
CONACYT: Consejo Nacional de la Ciencia y la Tecnología
DES: (Data Enryption Standard ) estándar de encriptación de datos
DMCA: Acto de Copyright del Milenio de Digital
DMZ: Zona de-Militarizada
FTP: (File Transfer Protocol) Protocolo de transferencia de archivo
GSM: (Global System for Mobile Communications): Sistema Global para Comunicaciones Móviles
IEEE: corresponde a las siglas del Institute of Electrical and Electronics Engineers, Instituto de Ingenieros
Eléctricos y Electrónicos
IPSEC: (la abreviatura de Internet Protocol security)
IRC: (Internet Relay Chat)
ISDN: (Integrated Services Digital Network) o en español RDSI (Red Digital de Servicio Integrados)
ISP: Proveedores de Servicio en Internet.
LDAP: Protocolo de Acceso de Directorio Ligero
LOPD: Ley Orgánica de Protección de Datos
LORTAD: Ley Orgánica de Regulación del Tratamiento Automatizado de Datos
NIC: (Network Information Center) Centro de Información sobre la Red
NOC: Centro de Operaciones de la Red (Network Operation Center)

NTFS: New Technology File System
P2P o Peer-to-Peer: Punto a punto, par a par o de terminal a terminal
PBX: (Private Branch Exhange o centrales telefónicas privadas)
PDAs: Personal Digital Assistants
PGP: (Pretty Good Privacy) Confidencialidad bastante buena
PKI: Public Key Infrastructure (Infraestructura de Clave Pública)
POC: (Point of Contact) Punto de Contacto
RAS: Remote Access Server (Servidor de Acceso Remoto)
Red-UJAT: Red de la Universidad Juárez Autónoma de Tabasco
RIAA: Recording Industry Association of America
RSA: Siglas de Rivest-Shamir-Ardleman
SIIA-UJAT: Sistema Integral de Información Administrativa de la Universidad Juárez Autónoma de Tabasco
SMTP: (Simple Mail Transfer Protocol). Protocolo de transferencia simple de correo
SP ó ASPs: Proveedor de Servicios de Aplicación
SSL: (Secure socket layer) Capa de Conexión Segura
SSL: (Secure Socket Layer). Capa

de socket Segura
Symmetric Cryptosystem: Cripto-sistema Simétrico
TI-UJAT: Tecnologías de la Información de la Universidad Juárez Autónoma de Tabasco
UJAT: Universidad Juárez autónoma de Tabasco
VPN: (Virtual Prívate Network) Red privada virtual
WEP: Wired Equivalent Privacy
Wi-FiTM : Estándar de Fidelidad Inalámbrica
WLAN: (Wireless Local Área Network) redes de área local inalámbricas
WW: World Wide Web

Capítulo 7
Guías para la evaluación de las políticas de
seguridad en la UJAT
En este capítulo se dan guías de evaluación para las políticas que proponemos de acuerdo a
las disposiciones generales con las que cuenta la UJAT y de acuerdo a los lineamientos
generales de nuestra institución en políticas de seguridad en centros de cómputo.
Las políticas más importantes que se tomaron en consideración según nuestras opiniones
se han evaluado de forma detallada basándonos en las políticas de la ANUIES y las
políticas del instituto SANS, que son las instituciones importantes en materia de seguridad
en centros de cómputo y redes.
La forma de evaluación se realiza mediante un formato para evaluar nuestras políticas que
estamos proponiendo ha sido en cuanto a un orden de importancia de acuerdo a los
reglamentos de cada una de ellas, por esta razón nosotros proponemos un porcentaje como
criterio para cada una. Así, como un porcentaje aproximado para que dicha política pueda
estar en un rango mínimo aceptado para ser aprobada. Los porcentajes de aprobación varían
de una política a otra, ya que los reglamentos difieren en cuanto a la importancia y al nivel
de seguridad. Por ejemplo algunas deberán cubrir el 100 % si es necesario para su completa
operatividad.
Algunas políticas no fueron tomadas en consideración para su evaluación dentro de este

capitulo ya que por su forma generalizada y extendida en sus reglamentos se han colocado
al final como anexo, al cual se le ha agregado una serie de políticas que sirven como apoyo
a nuestro trabajo de investigación.
También se ha dejado en cada una de las políticas evaluadas un espacio vació para que el
encargado del centro del centro de computo, pueda realizar observaciones, si lo requiere
la situación. La evaluación a cada una de las políticas que proponemos permite saber si se
cumplen con los reglamentos de seguridad con que cuenta UJAT.
Al final de cada evaluación se dan detalles de la persona que evalúa, el cargo o puesto que
desempeña los porcentajes mínimos a cubrir, el porcentaje de políticas cubiertas, la
verificación o no de la política y observaciones en caso de no aprobarla.
Cabe señalar que cada punto a evaluar, hace referencia con la misma numeración a la
política correspondiente. Sin embargo, no todas las políticas tienen un porcentaje de peso
para la evaluación, esto debido que no son mesurables.
1. Política de seguridad física.

Acceso físico
Política Criterio % Evaluación Observación
Todos los closets de comunicaciones y servidores
estarán debidamente protegidos con
70
1.1 infraestructura apropiada de manera que el
usuario no tenga acceso físico directo.
Las visitas a los closets de comunicaciones y
1.2
servidores deberán solicitar permiso al
10
departamento de redes así como portar una
identificación durante su estancia en la institución
¿Se establecen horarios de acceso a instalaciones
1.3 físicas, especificando los procedimientos y en qué 10
casos se deberá hacer excepciones?
¿Esta definido qué personal está autorizado para

1.4 10
mover, cambiar o extraer equipo de la UJAT?
Total 100 %
Evaluador Cargo
Porcentaje mínimo de aprobación 80% Porcentaje encontrado
Se determina aprobada Si No
Observaciones:
Fecha sugerida para próxima revisión: (en meses a partir de la presente evaluación)
Capítulo 7. Guías para la evaluación de las políticas de seguridad en la UJAT 107
Robo de Equipo
La UJAT deberá definir procedimientos para
inventario físico, firmas de resguardo para
1.5 50
préstamos y usos dedicados de equipos de
cómputo.
¿El resguardo de los equipos de cómputo queda
bajo el área del centro de cómputo contando con un
1.6 control de los equipos sin asignación personalizada 25
que permita conocer siempre la ubicación física de
los equipos?
¿El departamento de redes y
telecomunicaciones, así como las áreas que
1.7 cuentan con equipos de misión crítica cuentan con
25
vigilancia o algún tipo de sistema que ayude a
recabar evidencia de accesos físicos a las
instalaciones?
Total 100 %
Evaluador Cargo
Observación:
Protección Física
¿Las puertas de acceso a las salas de cómputo son
preferentemente de vidrio transparente, para
10
1.8 favorecer el control del uso de los recursos de
cómputo?
1.9 Los closets de comunicaciones en la UJAT deben
contar con acceso restringido, observar un buen
40
estado de la red eléctrica, protegida y
acondicionada.
Los closets de comunicaciones deberán seguir
1.10 los estándares vigentes para una protección
20
adecuada de los equipos de telecomunicaciones y
servidores.
Los sistemas de tierra física de los closets de
1.11 comunicaciones deberán recibir mantenimiento 20
anual con el fin de determinar su efectividad.
Se debe contar con una póliza de seguro contra
desastres naturales que incluya primeramente el
1.12 equipo de mayor impacto hasta el de menor en la
10
operación de la UJAT. La póliza de servicio de
mantenimiento debe considerar reemplazo de
equipo según su importancia.
Total 100 %
Evaluador Cargo
Observaciones:
Respaldo
La Base de Datos del SIIA-UJAT es respaldada
diariamente en forma automática y/o manual,
4.13 50
según los procedimientos generados para tal
efecto.
Los respaldos del SIIA-UJAT son almacenados en
1.14 50
un lugar seguro y distante del sitio de trabajo.
Evaluador Cargo
Observaciones:

De la Red- UJAT
¿Las cuentas de ingreso a los sistemas y los
recursos de cómputo son propiedad de la UJAT y
2.7 20
se usan exclusivamente para actividades
relacionadas con la institución?
¿Todas las cuentas de acceso a los sistemas y
recursos de cómputo de la Red-UJAT son
2.8 personales e intransferibles, y se permite su uso 20
única y exclusivamente durante la vigencia de
derechos del usuario?
Verificar que solamente el departamento de redes
2.9 40
haga uso de analizadores de red
Cuando se detecta un uso no aceptable,
2.10 ¿realmente se cancela la cuenta o se desconectará
20
temporal o permanentemente al usuario?
Total 100 %
Evaluador Cargo
Observaciones:
De las dependencias de la Universidad Juárez Autónoma de Tabasco

¿Las dependencias llevan un control total escrito
2.11 y/o sistematizado de sus recursos de cómputo? 10
¿Las Dependencias reportan al encargado y/o al

departamento de redes y telecomunicaciones de
2.12 la Red-UJAT cuando un usuario deje de laborar o 20
de tener una relación con la institución?
¿Si una dependencia viola las políticas vigentes de
uso aceptable de la Red-UJAT, el departamento de
2.13 redes y telecomunicaciones de la Red-UJAT aísla 30
la red de esa dependencia?
¿El encargado remueve del sistema información
de cuentas individuales, cuando la información sea
2.15 de carácter ilegal, o ponga en peligro el buen 40
funcionamiento de los sistemas, o se aproveche de
ser de algún intruso utilizando una cuenta ajena?
Total 100 %
Evaluador Cargo
Observaciones:
Políticas de uso aceptable de los usuarios

Política Criterio % Calif. Observación
¿Son los recursos de cómputo empleados por el
2.16 usuario afines al trabajo? 10
¿Se verifica que el correo electrónico no sea usado

2.17 para envío masivo o materiales de uso no 20
académico?
¿Realiza el usuario conforme a su criterio
2.18 20
respaldos de su información?
¿Se verifica que no se utilicen programas de
2.19 cómputo, software y demás fuentes que violen la 30
ley de derechos de autor?
¿Existe facilidades para que los usuarios soliciten
apoyo al encargado de su dependencia ante
2.20 20
cualquier duda en el manejo de los recursos de
cómputo de la institución?
Total 100 %
Evaluador Cargo
Observaciones:
De los servidores de la Red-UJAT

¿Se verifica la instalación, configuración e
2.21 implementación de seguridad, en los servidores 20
conectados a la Red-UJAT?
¿Se notifica al departamento de redes y
2.22 telecomunicaciones de la Red-UJAT la instalación 10
de nuevos servidores?
¿Se restringen los derechos de directorios,
2.23 permisos y programas a ser ejecutados por los 10
usuarios?
¿Estan disponibles los servidores de la Red-UJAT
2.24 10
y el Internet 24 horas del día los 365 días del año?
¿Los servicios institucionales hacia Internet sólo
son provistos a través de los servidores
2.25 20
autorizados por el departamento de redes y
telecomunicaciones de la Red-UJAT?
¿El departamento de redes y
telecomunicaciones de la UJAT esta encargado
2.26 10
de asignar las cuentas a los usuarios para el uso de
correo electrónico en los servidores que administra?
Los servidores deberán ubicarse en un área física
que cumpla las recomendaciones para un closets 20
2.28
del Departamento de Redes y
telecomunicaciones.
Total 100 %
Evaluador Cargo
Observaciones:
Del Sistema Institucional de Información

El ABD tendrá acceso a la información de la Base
de Datos del SIIA-UJAT únicamente para la
2.29 realización de los respaldos de la BD, solucionar 30
problemas que el usuario no pueda resolver y
Diagnóstico o monitoreo del SIIA-UJAT.
¿El Administrador de la Base de Datos del SIIA-
UJAT no elimina ninguna información del sistema,
2.30 30
a menos que la información esté dañada o ponga
en peligro el buen funcionamiento del sistema?
¿El Administrador de la Base de Datos del SIIA-
UJAT es el encargado de asignar las cuentas a los
2.31 usuarios para el uso del SIIA-UJAT. Para tal efecto 20
será necesario seguir el procedimiento determinado
por la UJAT?
¿Las contraseñas son asignadas por el
Administrador de la Base de Datos del SIIA-UJAT
2.32 en el momento en que el usuario desee activar su 20
cuenta, previa solicitud al responsable del SIIA-
UJAT, de acuerdo con el procedimiento generado?
Total 100 %
Evaluador Cargo
Observaciones:
3. Política sobre la Seguridad lógica administrativa en recursos de cómputo.

Área de Seguridad en Cómputo
¿El ASC-UJAT esta encargada de suministrar
medidas de seguridad adecuadas contra la intrusión
o daños a la información almacenada en los
sistemas así como la instalación de cualquier 40
herramienta, dispositivo o software que refuerce la
seguridad en cómputo?
3.1
¿Con la constante innovación de los mecanismos
de ataque es posible garantizar una seguridad
completa? 30
¿El ASC-UJAT mantiene informado a los usuarios

y pone a disposición de los mismos el software que
3.2 10
refuerce la seguridad de los sistemas de cómputo
de la UJAT?
¿El ASC-UJAT es el único autorizado para
monitorear constantemente el tráfico de paquetes
sobre la red, con el fin de detectar y solucionar
3.3 20
anomalías, registrar usos indebidos o cualquier falla
que provoque problemas en los servicios de la Red-
UJAT?
Total 100 %
Evaluador Cargo
Observaciones:
Administradores de Tecnologías de Información

El encargado de seguridad debe cancelar o
suspender las cuentas de los usuarios previa
notificación, cuando se le solicite mediante un
documento explícito por las autoridades de una
3.4 dependencia en los siguientes casos: Si la cuenta 20
no se está utilizando con fines institucionales, si
pone en peligro el buen funcionamiento de los
sistemas o si se sospecha de algún intruso
utilizando una cuenta ajena.
¿El encargado de seguridad deberá utiliza los
analizadores previa autorización del ASC-UJAT y
3.6 10
bajo la supervisión de éste, informa de los
propósitos y los resultados obtenidos?
¿El encargado de seguridad realiza respaldos
periódicos de la información de los recursos de
3.7 20
cómputo que tiene a su cargo, siempre y cuando se
cuente con dispositivos de respaldo?
¿El encargado de seguridad actualiza la
información de los recursos de cómputo de la
3.8 10
Dependencia a su cargo, cada vez que se adquiera
ó se instale equipo o software?
¿El encargado registra cada máquina en el padrón
3.9 único de control de equipo de cómputo y red de la 5
Dependencia a su cargo?
¿El encargado de seguridad debe auditar
periódicamente los sistemas y los servicios de red,
para verificar la existencia de archivos no
3.10 10
autorizados, configuraciones no válidas o permisos
extras que pongan en riesgo la seguridad de la
información?
¿El encargado de seguridad debe realizar la
instalación o adaptación de sus sistemas de
3.11 5
cómputo de acuerdo con las solicitudes del ASC-
UJAT en materia de seguridad?
El encargado reportará al ASC-UJAT los
incidentes de seguridad, de acuerdo con el formato
3.12 de control de incidentes de la UJAT, junto con 20
cualquier experiencia o información que ayude a
fortalecer la seguridad de los sistemas de cómputo.
Total 100 %
Evaluador Cargo
Observaciones:
4. Política sobre la Seguridad lógica en servidores

Servidores en las dependencias universitarias
¿Cada dependencia define los servicios de red a
ofrecer en los servidores e informa al.
4.1 10
Departamento de Redes y Telecomunicaciones
para su autorización?
¿Las dependencias utilizan la infraestructura de la
Red-UJAT para proveer servicios a los usuarios de
4.2 10
la misma dependencia y/o pertenecientes a la
UJAT?
¿El encargado es el responsable de la
administración de contraseñas y guardar su
4.3 10
confidencialidad, siguiendo el procedimiento para
manejo de contraseñas de la UJAT?
¿La Dependencia notifica al encargado cuando un
4.4 usuario deje de laborar o de tener relación con la 10
UJAT?
El encargado es el único autorizado para asignar
las cuentas a los usuarios de su dependencia con
4.6 30
previa anuencia de las autoridades de la
dependencia
El Departamento de Redes y
Telecomunicaciones. De la Red-UJAT aísla
cualquier servidor de red, notificando al Encargado,
usuarios y autoridades de la Dependencia en las
condiciones siguientes:
●Si los servicios proporcionados por el servidor

implican un tráfico adicional en la Red-UJAT.
4.7
●Si se detecta la utilización de vulnerabilidades que
puedan comprometer la seguridad en la Red-UJAT.
●Si se detecta la utilización de programas que
alteren la seguridad y/o consistencia de los 30
servidores.
●Si se detectan accesos no autorizados que
comprometan la integridad de la información.
●Si se viola las políticas de uso de los servidores.
Total 100 %
Evaluador Cargo
Observaciones:
Uso de los Servidores por los usuarios

política Criterio % Evaluación Observación
¿Si un usuario viola las políticas de uso de los
servidores, el Encargado podrá cancelar
4.8 totalmente su cuenta de acceso a los servidores, 100
notificando a las autoridades correspondientes?
Total 100 %
Evaluador Cargo
Observaciones:
5. Política sobre Antivirus.

Antivirus de la Red-UJAT
Política Criterio % PC`s Evaluación Observación
Deberán ser utilizadas en la implementación y
5.1 administración de la solución antivirus. 50
¿Todos los equipos de cómputo de la UJAT

5.2 tienen instalada la Solución antivirus 50
Total 100 %
Nota: El porcentaje va de acuerdo al numero de maquinas.
Evaluador Cargo
Observaciones:
Políticas antivirus de las dependencias universitarias

Política Criterio % PC`s Evaluación Observación
El encargado será el responsable de implementar
la solución antivirus en las computadoras a su
cargo, solucionar contingencias presentadas ante
el surgimiento de virus que la solución no haya
5.3 detectado automáticamente, configurar el 50
analizador de red de su dependencia para la
detección de virus y notificar a la CAV en caso de
contingencia con virus
En caso de contingencia con virus el encargado
5.4 deberá seguir el procedimiento establecido por la 50
UJAT.
Total 100 %
Evaluador Cargo
Observaciones:
Uso del Antivirus por los usuarios

Política Criterio % PCs Evaluación Observación
El usuario no deberá desinstalar la
solución antivirus de su computadora
5.5 30
pues ocasiona un riesgo de seguridad
ante el peligro de virus.
Si el usuario hace uso de medios de
almacenamiento personales, éstos
serán rastreados por la Solución
5.6 Antivirus en la computadora del 20
usuario o por el equipo designado para
tal efecto.
El usuario deberá comunicarse con el
encargado de su dependencia en
5.7 caso de problemas de virus para buscar 20
la solución.
El usuario será notificado por el
encargado en los siguientes casos.
Cuando sea desconectado de la red
con el fin evitar la propagación del virus
5.8 30
a otros usuarios de la dependencia,
cuando sus archivos resulten con daños
irreparables por causa de virus y si viola
las políticas antivirus.
Total 100 %
Evaluador Cargo
Observaciones:
6. Redes de investigación Internet2

¿El uso de la red de Internet2 es exclusivamente
6.1 40
académico?
¿Los proyectos que requieran Internet2 son
6.2 coordinados por el centro de cómputo 30
universitario?
¿Los servicios de video conferencias que requieran
6.3 Internet2 son coordinadas por el centro de 30
cómputo universitario?
Total 100 %
Evaluador Cargo
Observaciones:
7. Políticas de Programas P2P

¿Se realiza la verificación del uso no autorizado de
20.1 programas o aplicaciones punto a punto para 100
descargar cualquier tipo de material?
Total 100 %
Evaluador Cargo
Observaciones:
8. políticas de redes inalámbricas

(Wireless Local Area Network).
Reglamento del servicio

¿El servicio es utilizado solamente para fines
8.1 25
académicos y de investigación?
¿Se cuenta con mecanismos de autenticación de
8.2 dispositivos que se conecten a la Red-UJAT 30
mediante redes inalámbricas?
No se permite usar programas que recolectan
8.3 10
paquetes de datos de la red inalámbrica
No se permite alquilar a terceros el servicio de
8.4 navegación en Internet utilizando equipos 10
conectados a la red inalámbrica de la UJAT.
No se permite instalar, ni operar puntos de acceso
en la red cableada de la UJAT, diferentes a los
8.5 20
instalados por el Departamento de redes para
prestar el servicio.
No se permite configurar las tarjetas inalámbricas
8.6 5
como puntos de acceso dentro de la Red-UJAT.
Total 100 %
Evaluador Cargo
Observaciones:
Sobre el uso del servicio

¿Se toma en cuenta los aparatos y/o
dispositivos que puedan ocasionar
8.14 interferencias en las transmisiones 100
inalámbricas, tanto antes como después de
su implementación o instalación.
Total 100 %
Evaluador Cargo
Observaciones:

Las redes ISDN/Analógicas son una extensión de la
Red-UJAT y aplican las mismas restricciones de
11.1 20
seguridad de esta red. ¿Se aplican las mismas
reglas?
Las cuentas para acceder al servicio remoto mediante
11.2 líneas analógicas (módems) son administradas por el 50
Departamento de redes.
El servicio de ISDN para videoconferencia y otras
11.3 funciones esta administrado por el Departamento de 30
redes.
Total 100 %
Evaluador Cargo
Observaciones:
12. política de auditoria

12.1 ¿Se realizan auditorias periódicas a la Red-UJAT? 40
Las auditorias las realizará el Departamento de
12.2 20
Redes
Se emitirán reportes para documentar las anomalías
12.3 20
o fallas encontradas.
Los reportes detallaran el número de computadoras,
12.4 20
usuarios y sistemas involucrados
Total 100 %
Evaluador Cargo
Observaciones:

Se restringe la información personal de los usuarios
13.1 50
del sistema de acceso DIAL-IN
El control del contenido del RAS es el mismo que en
13.3 50
toda la Red-UJAT
Total 100 %
Evaluador Cargo
Observaciones:
15. Políticas de correo electrónico

¿Es el servicio de correo electrónico institucional es
15.1 medio de comunicación usado para el envio de 20
mensajes para todos los usuarios de la Red UJAT?
Las cuentas de correo son administradas por el
Departamento de redes, con apoyo de los
15.2 10
encargados de cada una de las dependencias de la
UJAT
Se cuenta con un espacio de almacenamiento
predefinido de acuerdo a cada tipo de usuario, el cual
15.3 10
puede aumentarse en casos especiales, mediante
solicitud escrita al Departamento de redes
El servicio se establece para fines académicos,
15.4 10
administrativos y de investigación
Queda prohibido el envió de correo basura o SPAM.
En caso de observar alguna anomalía en las cuentas
15.5 20
o equipos de los usuarios, estos deberán reportarlo
al encargado de cómputo de su dependencia
El envió de información de los sistemas de la Red-
15.6 UJAT será solamente a cuentas de correo 10
institucionales
En la difusión de eventos en carteles y páginas Web
15.7 5
se darán a conocer direcciones de correo institucional
La contraseña de las cuenta de correo son
15.8 personales y es responsabilidad del usuario no darla 10
a conocer a otras personas
¿Existe el mecanismo de aceptación de las políticas
15.9 por parte de los usuarios con respecto a los servicios 5
de correo?
Total 100 %
Evaluador Cargo
Observaciones:

Para mantener la seguridad de las bases de datos
internas de la compañía, el acceso a programas de
software sólo debe concederse después de la
autenticación de credenciales. Las credenciales
usadas para esta autenticación no residen en lo
16.1 100
principal, que es el ejecutar el cuerpo del código
fuente del programa en un texto claro. No deben
guardarse credenciales de bases de datos en
situaciones en las que se pueda acceder a través
de un servidor Web
Total 100 %
Evaluador Cargo
Observaciones:
Capítulo 8
Conclusiones
El presente trabajo de investigación, está estructurado en siete capítulos cada uno de ellos
tienen una función especifica que cubrir, dentro de los lineamientos de información, usos y
servicios que proporciona la UJAT. El objetivo es implementar las bases y las
implicaciones de seguridad dentro de nuestra máxima casa de estudio. Se considera
necesaria e indispensable la aplicación de algún tipo de normatividad en todas y cada una
de las tecnologías de información que se maneja y administra dentro de la UJAT.
La experiencia adquirida sobre este trabajo de investigación ha sido muy variada y diversa,
sobre la marcha de la investigación se percibe la complejidad que puede tener la
implementación de las reglas y normas que cada usuario, sistema o dependencia deben de
acatar.
Durante el avance de la investigación se observa que al implementar los reglamentos,

(apoyado por ideas y plantillas de otras dos instituciones afines a nuestro tema) en algún
punto especifico de una dependencia, uno debe tener cuidado de no perjudicar a otros que
tal vez para ellos no aplique dicha normatividad sino que modificada tal vez de alguna
forma, sea aceptada por todos y cada uno de los usuarios.
Como punto importante haciendo una introspección a lo que he adquirido en cuanto al

conocimiento seria:
• Que toda institución federal, publica y privada que tenga una infraestructura mayor,
menor o semejante a la nuestra, se debe regir de reglamentos y normas de seguridad
para la protección de su información tanto en hardware como en software
• Con el avance tecnológico que surge día a día, hemos dejado a un lado el tema de la
seguridad y hemos descuidado la protección de información de nuestros equipos ya que
estos deben estar respaldados por reglamentos y normatividad, en cuanto a su uso y
operatividad
• Es importante la capacitación del personal a cargo de los reglamentos que dictan las
políticas, para el buen funcionamiento del sistema, ya que la capacitación no es un
gasto innecesario sino una inversión que será destinada a la seguridad de nuestra
infraestructura.
A continuación se dan algunas conclusiones en base a las políticas de seguridad propuestas

en el capítulo 6.
1. Las políticas propuestas resuelven en gran parte el problema de contar con una
normatividad, sin embargo estas propuestas deben ser revisadas por el Centro de
cómputo Universitario y puestas a consenso de todos los involucrados. Aunque no
se pueda alcanzar un nivel de seguridad perfecto, si se puede tener un sistema
robusto con estadísticas, e información acerca del estado que guarda la seguridad
de red UJAT, de forma que sea confiable y justifique las inversiones realizada en
la estructura.
2. Consideramos importante crear dentro de un departamento de seguridad en

cómputo, un grupo de respuesta a incidentes local para auxiliar en situaciones de
ataques de virus y de intrusiones de la red desde ubicaciones remotas. Este equipo
de respuesta local debe estar vinculado con un grupo de respuesta de cobertura
amplia para intercambiar informaciones y boletines reciente en una eventualidad de
seguridad, como lo son, los equipos con que cuenta el departamento de seguridad
de la UNAM–CERT, que cuenta con un grupo de personas capacitadas para
cualquier incidente en una emergencia, brindando apoyo a diferentes universidades
del país.
3. La seguridad es muy compleja y es importante por que involucra toda la

infraestructura con la que trabaja nuestra red, desde el software hasta el hardware y
es indispensable contar con un conjunto de políticas y reglamentos de seguridad.
4. La normatividad y el grupo de trabajo responsables de la política deben ser

coherentes para beneficio de la institución de educación superior en cuanto a
seguridad se requiera.
5. La seguridad debe de prever situaciones de crecimiento, necesidades, de

planeación y mantenimiento a mediano y a largo plazo.
6. Se considera necesario contar con un personal capacitado para las revisiones

frecuentes de la infraestructura de la red en materia de seguridad y la actualización
de la misma.
7. Contar con estas políticas ayuda a disminuir el riesgo de un ataque de virus y la

detección de intrusos en la red, de nuestra institución de educación superior,
contando con una revisión periódicamente de estas políticas ayuda a la
actualización y a la renovación constante de nuestro reglamento de seguridad.
8. Se considera necesario incluir estos temas en los programas del área de computo
é informática de forma curricular o extracurricular, para conocimiento de las nuevas
generaciones de alumnos.
Capítulo 8. Conclusión 133
9. El esquema propuesto para el capitulo 6 de estas políticas no solo aplica al ámbito

de la UJAT. Prueba de esto son las referencias echas al presente trabajo por otros
proyectos de tesis, proyectos de investigación y proyectos para cursos de
actualización del área de redes
10. Un beneficio adicional para la institución es contar con una de las

normatividades requeridas por los organismos evaluadores de la calidad de las
instituciones de educación superior, de la certificación de la infraestructura y de los
programas académicos
Existe un trabajo parcial en seguridad el cual debe formalizarse de acuerdo a los

organismos y normas de seguridad con los que se relaciona UJAT para cumplir con dichos
fines de contar con un esquema completo y operativo de seguridad. Con bases como lo son
las políticas de seguridad de la “Asociación Nacional de Universidades e Instituciones de
Educación Superior” (ANUIES) y las políticas de redes del “Systems Administration,
Networking and Security” (SANS). El producto principal o aportación de esta
investigación es el capitulo 6 donde se proponen un conjunto general por categorías de las
políticas que consideramos necesarias para la operatividad actual de la red, basándose en
las recomendaciones mínimas de los organismos anteriormente citados.
Cada propuesta de política fue elaborada de manera que nos puedan servir como base para
darle un seguimiento periódico según las necesidades que así lo requieran, cada una está
estructura de forma que hacemos referencia a los antecedentes históricos dándonos una
idea de las evoluciones que van tomando en cuanto a las necesidades actuales o del
momento. Al hacer esto nos damos cuenta de su importancia pasarlas a una propuesta
propia y aplicarlas en nuestro trabajo de investigación, desde luego al tener el conocimiento
de estas por medio de sus antecedentes nos damos a la tarea de plantear el propósito y el
alcance de nuestra política. Se deja para revisiones futuras algunas categorías de políticas,
y un punto importante de gran valor que es incluir su revisión histórica, a la que las
personas encargadas de hacer esta labor pueden agregar sus revisiones periódicas según se
les indique, y puedan hacer algún comentario sobre corregir o anexar un nuevo punto sobre
el tema especifico.
En el capitulo 7 consideramos que para la revisión de las políticas se halla dejado un

formato en la parte final de cada una, para evaluar con un porcentaje mínimo de
aprobación, el cual no es el mismo en cada política, algunas tienen mayor peso que otras,
por su valor e importancia. Esto se dispuso para que el evaluador tenga de su
conocimiento el porcentaje de la política que va ha ser aprobada. Y así pueda certificar si la
política es a probada o no, dando su porcentaje encontrado en toda su evaluación. Las
fechas de revisión varían de una a otra según su política y administración ya que algunas
requieren de una constante revisión más próxima, en este caso se deja una fecha sugerida
para próximas revisiones en meses a partir de la fecha en que inicia.
Durante el desarrollo de esta tesis se alcanzo casi una cobertura del 100% de los sistemas
de la universidad para procesos académicos administrativos y de finanzas por lo cual
consideramos que la seguridad no debe ser un elemento adicional sino una consideración
obligatoria para la eficiente operación de todos los sistemas que rigen los procesos del
diario acontecer de la UJAT
Como conclusión final podemos decir: que, aunque si es posible la operación de la red
UJAT sin políticas, es muy conveniente contar con políticas para su mejor operación, ya
que se requiere una operatividad completa y segura, así como una serie de normas que
regulen su uso. Por eso es importante no solo contar con un conjunto de políticas de
seguridad en computo, sino también de todo lo necesario para su implementación y
operatividad, tales como grupos expertos de respuesta a incidentes, personal que
supervisen la aplicación de las políticas, recursos de cómputo para monitoreo y
capacitación. Por lo tanto adquiere validez la hipótesis mencionada al inicio de la presente
tesis: “Es necesario contar con un conjunto de políticas de seguridad para las redes de
cómputo de la Universidad Juárez Autónoma de Tabasco, que brinden las bases de una
correcta operación, funcionamiento e integridad de sus sistemas e infraestructura”.
.
Anexo “A”
Estadísticas y reportes de seguridad
Los datos estadísticos del número de intrusiones detectadas y reportadas al CERT.org desde
1988 hasta el 2000, las cuales nos indican la necesidad de cuidar los aspectos de seguridad
informática de nuestros sistemas
Tabla. 1-A 1988-1989

Año 1988 1989
Incidentes 6 132
Tabla. 2- A 1990-1999
Año 1990 1991 1992 1993 1994 1995 1996 1997 1998 1999*
Incidentes 252 406 773 1,334 2,340 2,412 2,573 2,134 3,734 9,859
Tabla. 3-A 2000 Incidentes.

Año Q1, Q2, y Q3, 2000 2001
Incidentes 15,167
Total de incidentes reportados (1988-2000): 41,162
Tabla. 4-A Vulnerabilidades reportadas 1995-1999.
Año 1995 1996 1997 1998 1999*

Vulnerabilidades 171 345 311 262 417
Tabla. 5-A 2000 Vulnerabilidades.

Año Q1, Q2, y Q3, 2000 2001
Vulnerabilidades 774
Total de vulnerabilidades reportadas (1995-2000): 2,280 de acuerdo al CERT.

A-2 Tesis: Implementación de políticas de seguridad en cómputo en la UJAT
Reportes externos. Del 2004
UNAM-CERT, como equipo de respuesta oficial a incidentes de seguridad en cómputo

recibe constantemente reportes de sistemas de monitoreo mundial sobre problemas que
afectan a la red de la UNAM y, al ser el único equipo oficialmente reconocido en el país,
también de otras redes de organizaciones establecidas en México.
Tabla. 6-A Reportes mensuales.
Mes Enero Febrero Marzo

Reportes mensuales 73 198 183
Tabla. 7-A Asesorías.
Tipo de asesoría Diarias Mensuales

Correo 20 400
Teléfono 15 300
Tabla. 8-A 2004 Incidentes.
Año 2004
Incidentes 1060
Tabla. 9-A. Estadísticas trimestrales.
Período Trimestre 1 Trimestre 2 Trimestre 3 Trimestre 4

No. de reportes 214 336 329 181
Tabla. 10-A Reportes por virus o gusanos.
Virus/Gusano Porcentaje
Phatbot 25.16
Opaserv 16.12
Slammer 16.12
Sasser 10.64
Mydoom 9.35
Netsky 8.06
Beagle 6.12
Blaster 3.87
Gaobot 3.22
Anexo “A” Estadísticas y reportes de seguridad A- 3
Tabla. 11-A Estadísticas por Sistema Operativo.
Sistema operativo Porcentaje

Windows XP Pro 35.84
Windows 98 13.27
Windows 2000 Pro 12.38
Solaris 2.5 8.4
Windows XP Home Edition 5.75
Windows 2000 Server 5.75
Linux kernel 2.4.x 5.3
Linux Redhat 9 3.53
Windows ME 2.21
Solaris 7 Sparc 1.76
Windows NT 1.32
Windows 2000 Advanced Server 1.32
Windows Server 2003 1.32
Solaris 8 x86 0.44
OpenBSD 0.44
Tru64 0.44
Solaris 6 0.44
Tabla. 12-A Tipo de reporte
Tipo de reporte Incidente Asesoría Revisión Spam Auditoria

Porcentaje 71.73 13.25 10.6 3.71 0.7
Reportes externos Junio-Noviembre.
Tabla. 13-A Junio-Noviembre 2004
Mes Junio Julio Agosto Septiembre Octubre Noviembre

Reportes semanales 165 172 153 174 98 48
Reportes mensuales 660 688 612 696 392 192
A-4 Tesis: Implementación de políticas de seguridad en cómputo en la UJAT
Tabla. 14-A Porcentajes de virus y gusanos basados en reportes externos.
Reporte Porcentaje
Phatbot 50.13
Beagle 17.07
Blaster 11.73
Bots 7.47
Spam 7.47
Scan445 3.20
Beagle3 1.07
Dameware 0.80
Mydoom 0.53
Slammer 0.27
Sinit 0.27
Tabla. 15-A Asesorías
Tipo de asesoría Diarias Mensuales Anuales
Correo 20 400 4800

Teléfono 15 300 3600
Reporte externo del 2005
A continuación se presentan datos estadísticos del número de intrusiones detectadas y

reportadas a cert.org.mx en el año 2005, las cuales nos indican la necesidad de cuidar los
aspectos de seguridad informática de nuestros sistemas.
Tabla. 16-A 2005
Año 2005
Incidentes 557
Tabla. 17-A Estadísticas trimestrales.
Período Trimestre 1
No. de reportes 557
Anexo “A” Estadísticas y reportes de seguridad A- 5
Tabla. 18-A Principales problemas.
Reporte Porcentaje
Spam 78.86
Beagle 7.99
Phatbot 6.03
Blaster 2.48
Open proxy 2.13
Slammer 1.95
Nachi 0.35
Phishing scam 0.17
Tabla. 19-A Estadísticas por Sistema Operativo.
Sistema operativo Porcentaje

Windows XP Pro 46.73
Windows XP Home 18.47
Windows 2000 Pro 13.04
Windows ME 5.43
Windows 98 5.43
Windows 2000 Server 3.26
Cobalto 4.21
Windows NT 2.17
Linux kernel 2.4.x 2.17
Tabla. 20-A Tipo de reporte
Tipo de reporte Asesoría Spam Incidente

Porcentaje 3 43 53
Anexo “B”
Las empresas lanzan un ataque contra los
virus para evitar pérdidas millonarias
La inversión en sistemas de seguridad informáticos por parte de las compañías se situará
este año en 70.000 millones de dólares, una cifra que aumentará hasta los 116.000 millones
en 2007 para cortar el avance de los virus.
Los ataques informáticos se están convirtiendo en un problema de impredecibles

consecuencias económicas para las empresas de todo el mundo. Los virus, cada vez más
sofisticados y dañinos, están aprovechando las facilidades que presentan la Internet y los
fallos de seguridad de algunos programas informáticos para infectar a un gran número de
ordenadores en todo el mundo.
Las empresas aumentan gastos en seguridad. Fig. 20-B

B-2 Tesis: Implementación de políticas de seguridad en cómputo en la UJAT
Para contrarrestar esta plaga, las compañías han decidido aumentar su gasto en seguridad
informática (antivirus, cortafuegos y aplicaciones a medida). Fig. 20-B. De forma
significativa en los próximos años. Según datos de la consultora IDC, la inversión en
sistemas de seguridad se habrá situado en 2003 en 70.000 millones de dólares (56.229
millones de euros). Esta cifra aumentará hasta los 116.000 millones de dólares (93.180
millones de euros) en 2007.
Este esfuerzo inversor ya se está notando en Estados Unidos. Según datos del Instituto
de Seguridad para los Ordenadores (CSI, en sus siglas en inglés), las pérdidas ocasionadas a
las empresas estadounidenses por los ataques informáticos se situarán en los 202 millones
de dólares (162,2 millones de euros) este año, frente a los 455,84 millones de dólares
(366,16 millones de euros) de 2002.
Este importante descenso está motivado, según el estudio, por los nuevos sistemas de
prevención de ataques que incorporan la mayor parte de las empresas. No obstante,
según el CSI, también son muchas las compañías que sufren ataques informáticos y no lo
desvelan por temor a mostrarse vulnerables. En todo el mundo, los daños económicos
ocasionados por los virus informáticos se situaba en 2001 en 18.124 millones de dólares
(14.554 millones de euros), según datos del CSI. Fig. 21-B
Daños económicos ocasionados por los virus. Fig. 21-B

Anexo “B” Las empresas lanzan un ataque contra los virus para evitar perdidas millonarias B- 3
Los más protegidos
Estados Unidos e Inglaterra son los países que cuentan con un porcentaje más alto de
usuarios (35,4% y 33,01%, respectivamente) bien protegidos contra ataques informáticos,
según datos de la empresa de seguridad informática Panda Software.
En España, sin embargo, sólo un 19% de los ordenadores está protegido adecuadamente,
frente a un 55,8% que no posee antivirus o no lo tiene actualizado. “Estas causas
justifican el hecho de que España sea uno de los países donde los virus se expanden
con mayor facilidad y duran más tiempo, al no existir sistemas de protección”, explica
Fernando de la Cuadra, director Técnico Internacional de Panda. La situación es todavía
más delicada en el caso de las pequeñas y medianas empresas, ya que el 68% no dispone de
las herramientas necesarias para hacer frente a un ataque informático.
España
Más de 8,7 millones de correos electrónicos han sido infectados con algún tipo de virus en
España este año, lo que supone un aumento del 1,82% respecto a 2002, según el Centro de
Alerta Temprana Antivirus (CAT).
El gusano que más ordenadores ha infectado este año en España es el Sobig.F. Este
virus se propaga a través del e-mail y tiene varios encabezamientos en inglés como Your
Details, Thank You! o Re:Aproved. Una vez que ha accedido al ordenador, entra en la
agenda de direcciones del usuario infectado. El virus, a través de un motor que incorpora,
genera nuevos mensajes que reenvía automáticamente a estas direcciones. Junto al Sobig.F,
que todavía se encuentra activo en algunos ordenadores, los gusanos con mayor incidencia
este año han sido Klez.H y Mimail. En todo el mundo, en el ránking de los virus más
extendidos se sitúa en la cabeza Bugbear y sus múltiples variantes. Fig. 22-B
El gusano que más ordenadores ha infectado este año en España es el Sobig.F. Fig. 22-B
La tendencia para el próximo año será similar a 2003. “Los virus seguirán aprovechando
la vulnerabilidad de los programas informáticos y se servirán, como están haciendo
B-4 Tesis: Implementación de políticas de seguridad en cómputo en la UJAT
hasta el momento, del correo electrónico para llegar a un mayor número de

ordenadores”, comenta Blas Zimarro, de la empresa McAfee.
En opinión de Fernando de la Cuadra, de Panda Software, la situación podría agravarse si

los virus deciden centrar sus ataques en algún importante servidor, produciendo un gran
colapso en la red.
Red.es presenta un decálogo para prevenir los ataques informáticos…
El Centro de Alerta Temprana Antivirus (CAT), órgano dependiente de Red.es, ha hecho

público un Decálogo de Seguridad para aquellos nuevos ordenadores que, coincidiendo con
las fiestas de Navidad y Reyes, llegan a los hogares españoles para conectar a las familias a
Internet.
Entre las recomendaciones para evitar la acción de los virus informáticos figura el contar
con un programa antivirus actualizado, que el sistema operativo del ordenador tenga todas
las aplicaciones de seguridad previstas, e instalar programas que eviten la aparición de
ventanas indeseadas durante la navegación por Internet. Además, es aconsejable disponer
de un programa cortafuegos, destinado a garantizar la seguridad de las comunicaciones del
usuario a través de Internet.
El cortafuego o firewall bloquea las entradas no autorizadas al ordenador y a la vez

restringe la salida de información. El decálogo del CAT también hace hincapié en que es
bueno contar con programas informáticos no copiados de forma ilegal y desconfiar de los
correos electrónicos que llegan en idiomas distintos al del usuario (generalmente en inglés)
o con un encabezamiento poco habitual a los que se suele recibir.
La amenaza del virus informático
En noviembre de 1983 se registró el primer virus informático documentado.
Se acaban de cumplir, pues, veinte años desde que se desencadenara esta creciente amenaza
telemática y desde entonces las empresas han sufrido en sus carnes lo que en la práctica se
traduce en importantes repercusiones económicas, pérdida de productividad y de
credibilidad e imagen ante sus clientes El pasado agosto Internet sufrió el mayor ataque de
virus informáticos de la historia, con la aparición de los gusanos Blaster, Sobig.F –el virus
que más se ha propagado en menos tiempo en toda la historia de la informática– y Nachi.A,
lo que puso en peligro todo tipo de equipos, especialmente los PC’s conectados a Internet
dentro de redes pequeñas, que carecen de eficientes mecanismos de protección.
Las empresas parecen ahora decididas a blindarse contra los virus informáticos. No
todas cuentan con sistemas de seguridad antivirus realmente eficaces, en ocasiones por el
alto precio del antivirus o porque no han tomado conciencia de la gravedad de los efectos
que producen los virus. Si el correo electrónico representa una auténtica revolución para las
empresas –en España lo usa el 98% de las compañías–, no es menos cierto que se ha
Anexo “B” Las empresas lanzan un ataque contra los virus para evitar perdidas millonarias B- 5
convertido en un auténtico talón de Aquiles para la seguridad de los datos corporativos,

pues el 95% de los virus entran o se propagan mediante la mensajería electrónica. Fig. 23-B
Los empresarios españoles aún tienen un largo camino por recorrer para cerrar la
brecha que les separa del resto de compañías de la OCDE. De hecho, sólo el 15% de las
empresas españolas sobreviviría a un desastre informático. Un reciente estudio de Ciencia y
Tecnología advierte que en España el número de servidores realmente seguros por cada
100.000 personas es sólo 1,9, lo supone un clara desventaja frene a los 4,4 de la media
comunitaria.
Los virus más extendidos Fig. 23-B
Los expertos coinciden en que las compañías aún no tienen el nivel de concienciación
necesario en los aspectos relacionados con la seguridad de los sistemas de información,
pues no existe una cultura de la seguridad a nivel empresarial que haga que la dirección se
plantee otros tipos de medidas más allá de las técnicas. Muchas siguen pensando que un
sistema instalado hace cuatro años continúa siendo eficaz.
Es necesario cambiar la cultura de las empresas, sobre todo las más pequeñas, que en su
mayoría siguen considerando la seguridad informática más como un gasto que como una
inversión.
Glosario
3DES: "Pronunciado triple DES”. Uso del estándar del DES donde tres llaves se utilizan en la
sucesión para proporcionar seguridad adicional.
802.11b: En el año 1999, fue aprobada por el IEEE, el estándar 802.11b, es una extensión del
802.11 para WLAN empresariales, con una velocidad de 11 Mbit/s (otras velocidades
normalizadas a nivel físico son: 5.5 - 2 y 1 Mbit/s), Permite mayor velocidad, pero presenta una
menor seguridad, y el alcance puede llegar a los 100 metros, suficientes para un entorno de
oficina o residencial.
802.11g: El IEEE también ha aprobado en el año 2003 en el estándar 802.11g, compatible con
el 802.11b, capaz de alcanzar una velocidad doble, es decir hasta 22 Mbit/s o llegar, incluso a
54 Mbit/s, para competir con los otros estándares que prometen velocidades mucho más
elevadas pero que son incompatibles con los equipos 802.11b ya instalados, aunque pueden
coexistir en el mismo entorno debido a que las bandas de frecuencias que emplean son
distintas. Por extensión, también se le llama Wi-Fi.
ABD-SIIA: Administrador de las bases de datos del Sistema Integral de Información

Administrativa de la UJAT.
APD: Agencia de Protección de Datos.
ARPANet :(Advanced Research Projects Agency Network) fue la red que se convirtió en la
base de Internet. La financió principalmente el ejército de los Estados Unidos y consistía en
una cantidad de ordenadores individuales conectados por medio de líneas alquiladas y usando
un esquema de conmutación de paquetes.
ASC-UJAT: Área de Seguridad en Computo de la Universidad Juárez autónoma de Tabasco.
ASP: (Proveedor de Servicios de Aplicación) Los ASPs son combinación del software hosted,
hardware y la tecnología de conexión de una red de computadoras para ofrecer un servicio
basado en como opera, posee y se opone una aplicación en la compañía. Las ofertas de ASP
comunes, incluyen planes de recursos de la empresa, colaboran y venden fuertes herramientas
de automatización, pero no limitan estas cosas.
Asymmetric Cryptosystem: (Cripto-sistema Asimétrico), es un método de encripción en el

que se usan dos llaves diferentes: una para el encriptamiento y otra para el desencriptamiento
de los datos, por ejemplo: la encripción Public-Key (llave pública).
ATM: Modo de transmisión asíncrono.
Base de Datos: Colección de archivos interrelacionados.
B-ISDN: Redes Digitales de Servicios Integrados de Banda Ancha.
Blowfish: El algoritmo Blowfish usa una clave de encriptación de 448-bit, y actualmente es el

método más seguro disponible por su longitud de clave. Esta resistencia a ataques lo hace ser
un sistema de encriptación de grado militar.
CAI: Computer Aided Instruction; Instrucción asistida por computadora.
CAV: Comité de asesor de vacunas.

CCICB: Centro de Cómputo de Investigación de Ciencias Básicas. Se entiende como la
infraestructura de cómputo disponible para el uso de estudiantes y personal académico en el
edificio de Cómputo de la División.
CCITT: Comité Consultivo Internacional Telegráfico y Telefónico. Organización que fija

estándares internacionales de las comunicaciones.
Centro de Cómputo: Salas de cómputo y/o salas de procesamiento de información que

cuenten con equipamiento de cómputo.
CGI: (Common Gateway Interface; Interfase común de acceso) Conjunto de reglas que definen
como se realiza la comunicación entre un servidor Web y cualquier otro programa (llamado por
ello programa CGI) en la misma máquina. Un programa CGI se utiliza para sacar no meter
datos del servidor Web.
COAST: Sistema de contraseña y oráculo de computadora.
CONACYT: Consejo Nacional de la Ciencia y la Tecnología.
Contraseña: Conjunto de caracteres que permite el acceso de un usuario a un recurso

informático.
Credenciales: Es algo que lo identifica y se presenta para la autenticación, por ejemplo algo
que usted sabe, una contraseña o frase de paso, y/o algo que lo identifique por ejemplo, un
nombre de usuario, una huella digital, impresión de voz, impresión de retina.
CSLIP: (Compressed Serial Line Protocol) Protocolo de Línea Serie Comprimido. Versión
mejorada de SLIP que fue desarrollada por Van Jacobson. En vez de enviar las cabeceras
completas de los paquetes de información, sólo se envían las diferencias.
CUDI: Corporación universitaria para el desarrollo de internet
Cuerpo de ejecución: Es una serie de instrucciones que la computadora ejecuta para correr
un programa.
DCE: Equipo de comunicación de datos, nombre que suele recibir en una comunicación el
módem utilizado por un ordenador para conectarse con otro equipo (Data Communication
Equipment).
Departamento de Redes y telecomunicaciones: Es la dependencia que se encarga del

funcionamiento y operación de las Tecnologías de Información y comunicaciones de la UJAT.
Dependencia: Es toda Facultad, Escuela, Dirección, Subdirección, Departamento y Centro de

Investigaciones de la UJAT.
DES: (Data Enryption Standard (estándar de encriptación de datos) y es un criptosistema ,

simétrico por lo que para ser usado en una comunicación tanto el emisor como el receptor han
de conocer la clave de antemano. Utiliza bloques de 64 bits, y una clave de 56 bit durante la
encriptación. Es muchísimo más rápido que RSA, razón por la cual se utiliza en protocolos de
Internet y de comercio electrónico.
Descubrimiento desautorizado: Es el revelar intencional o involuntariamente información

restringida a personas que no tienen necesidad de saber esa información.
DIAL: Llamada. Marcaje.
DIAL-IN: Conexión a Internet que se establece a través de un módem y una línea telefónica. A
cada usuario se le asigna un número IP dinámico, es decir, un número otorgado sólo durante la
comunicación. Para establecer la conexión se utiliza algún estándar adecuado, como por
ejemplo el PPP, SLIP o CSLIP.
DMCA: (Acto de Copyright del Milenio de Digital) es una ley de derecho de autor polémica de
Estados Unidos que castiga la producción y la difusión de la tecnología que puede evitar las
medidas tomadas para proteger el derecho de autor, no simplemente infracciona el derecho de
autor sí mismo, sino que aumenta las penas para la infracción del derecho de autor en el
Internet.
DMZ (Zona de-Militarizada): Conecta una red de computadoras que existe fuera de la
compañía en firewalls corporativos primarios, pero todavía bajo el mando administrativo de la
compañía.
DNS SPOOFING: Es la técnica de suplantar el DNS de otro sistema.
DNS: Un DNS (Domain Name System) es un conjunto de protocolos y servicios (base de datos
distribuida) que permiten a los usuarios utilizar nombres en vez de tener que recordar
direcciones IP numéricas. Ésta es ciertamente la función más conocida de los protocolos DNS:
la asignación de nombres a direcciones IP.
El grupo de Yankee: (The Yankee Group) ayuda a sus clientes a tener éxito proporcionando el
conocimiento, las herramientas y la ayuda que necesitan tomar decisiones el ganar cuando las
oportunidades de negocio se interceptan con las soluciones de la tecnología.
E-mail remitido: Es un e-mail resentido para la gestión de redes internas a un punto externo.
E-mail: Es la transmisión electrónica de información a través de un protocolo de correo como

SMTP. Programas como Eudora y Microsoft Outlook usan SMTP.
Encargado: Administrador de Tecnologías de Información. Responsable de la administración

de los equipos de cómputo, sistemas de información y redes de la Universidad Juárez
autónoma de Tabasco.
Entitlement: Es el nivel de privilegio que se ha autenticado y ha sido autorizado. Los niveles

de privilegio a que pueden acceder los recursos.
Espacio del nombre: Es un área lógica de código en el que los nombres simbólicos
declarados son conocidos, fuera de que estos nombres no son visibles.
Firewall: Dispositivo que se coloca entre una red local e Internet y cuyo objetivo es asegurar
que todas las comunicaciones entre los usuarios de dicha red e Internet se realicen conforme a
las normas de seguridad de la organización que lo instala.
Firmware: o Programación en Firme, es un bloque de instrucciones de programa para

propósitos específicos, grabado en una memoria tipo ROM, que establece la lógica de más
bajo nivel que controla los circuitos electrónicos de un dispositivo de cualquier tipo. Al estar
integrado en la electrónica del dispositivo es en parte hardware, pero también es software, ya
que proporciona lógica y se dispone en algún tipo de lenguaje de programación.
Frame relay: Sistema de transmisión basado en la conmutación de paquetes.
FTP: (File Transfer Protocol; Protocolo de transferencia de archivos) Protocolo que permite a
un usuario de un sistema acceder y transferir a y desde otro sistema de una red. FTP es
también habitualmente el nombre del programa que el usuario invoca para ejecutar el
protocolo.
Gerente de laboratorio: Es el individuo responsable de todas las actividades del laboratorio y

del personal.
GigaPOPs: Es el nombre asignado por el consorcio Internet2 a la estructura responsable por la

conmutación y administración de tránsito entre las redes de una misma región. Los GigaPOPs
deberán, además, recolectar datos sobre la utilización de la infraestructura de redes,
compartiéndolos entre sí y con los operadores de las redes que a ellos están conectados.
Estas informaciones permitirán mantener una agenda de los eventos en la red, monitoreo,
suministro de servicios de conectividad, solución de problemas y contabilidad de uso.
GNU: Proyecto creado en 1984 con el fin de desarrollar un sistema operativo tipo Unix según la
filosofía del "software libre".
GSM: (Global System for Mobile Communications): Sistema Global para Comunicaciones
Móviles).
Hash (PICAR): Algorítmicamente genera un número que identifica un dato o situación.
HDTU: (High Definitions.) Formato usado para televisiones de alta definición.
HOST: (sistema anfitrión, sistema principal / albergar, hospedar) Ordenador que, mediante la
utilización de los protocolos TCP/IP, permite a los usuarios comunicarse con otros sistemas
anfitriones de una red. Los usuarios se comunican utilizando programas de aplicación, tales
como el correo electrónico, Telnet, WWW y FTP. La acepción verbal (to host) describe el hecho
de almacenar algún tipo de información en un servidor ajeno.
Hosting: alojamiento. Servicio ofrecido por algunos proveedores, que brindan a sus clientes
(individuos o empresas) un espacio en su servidor para alojar un sitio Web.
Htttp: Es el protocolo de la Web (WWW), usado en cada transacción. Las letras significan
Hyper Text Transfer Protocol, es decir, protocolo de transferencia de hipertexto. El hipertexto
es el contenido de las páginas web, y el protocolo de transferencia es el sistema mediante el
cual se envían las peticiones de acceder a una página web, y la respuesta de esa web,
remitiendo la información que se verá en pantalla. También sirve el protocolo para enviar
información adicional en ambos sentidos.
Idioma de la computadora: Es un idioma usado para generar programas.
IEEE: corresponde a las siglas del Institute of Electrical and Electronics Engineers, Instituto de
Ingenieros Eléctricos y Electrónicos, una asociación estadounidense dedicada a la
estandarización. Es una asociación internacional sin fines de lucro formada por profesionales
de las nuevas tecnologías, como ingenieros de telecomunicaciones, ingenieros electrónicos,
Ingenieros en informática...
Información sensible: La información es considerada sensible si puede estar dañando a la

compañía o el valor en dólar de sus clientes, reputación, o lugar del mercado.
INFOSEC - Seguridad de Sistemas de Información y Telecomunicaciones, iniciativa de la

Comisión Europea.
Internet2: Es una colaboración entre más de doscientas universidades de los Estados Unidos
para desarrollar aplicaciones de conexión de red y avanzadas para el aprendizaje y la
investigación.
IP SPOOFING: técnica que permite que un atacante tome la identidad de un host "confiable"
(cambiando su dirección IP por la dirección de éste) y obtenga de este modo accesos no
autorizados a otros sistemas. En numerosos sitios (bajo Unix o Linux), existe un archivo
denominado .rhosts conteniendo una lista de nombres de hosts que se consideran de
confianza. Si un atacante se hace pasar por una de esas direcciones, puede llegar a ejecutar
comandos en forma remota o logearse en el sistema aún sin tener una contraseña.
IPSEC: (la abreviatura de Internet Protocol security) es una extesión al protocolo IP que añade
cifrado fuerte para permitir servicios de autenticación y cifrado y, de esta manera, asegurar las
comunicaciones a través de dicho protocolo. Inicialmente fue desarrollado para usarse con el
nuevo estandar IPv6, aunque posteriormente se adaptó a IPv4.
Ipv6: (Internet Protocol Version 6) o IPng (Next Generation Internet Protocol) es la nueva
versión del protocolo IP (Internet Protocol). Ha sido diseñado por el IETF (Internet Engineering
Task Force) para reemplazar en forma gradual a la versión actual, el IPv4.
IRC: (Internet Relay Chat). Servicio de comunicación abierta en Internet, creado por el
finlandés Jarkko Oikarinen en 1988, que permite conectar en tiempo real a través del teclado
del ordenador con personas de todo el mundo. Es un sistema basado en la arquitectura
cliente/servidor y multiusuario que permite la conexión de un gran número de personas por
canal y dispone de varios canales. El sistema se basa en un programa anterior llamado "Talk"
(un comando de UNIX) que posibilitaba a dos ordenadores comunicarse de forma interactiva,
cada usuario escribe en su pantalla y el otro lo recibe al instante. chat = "charlar o chatear en
Internet".
ISDN: (Integrated Services Digital Network) o en español RDSI (Red Digital de Servicio
Integrados) es una tecnología que permite transmitir información (Texto, voz, imágenes) con
una mejor calidad y confiabilidad, utilizando la red pública.
ISO 9000: Conjunto de 5 Normas Internacionales de Estandarización sobre Gestión de la

Calidad y Aseguramiento de la Calidad desarrollado para ayudar a las empresas a documentar
efectivamente los elementos a ser implementados para mantener un eficiente Sistema de
Calidad. Los estádares no son específicos para ninguna industria, producto o servicio. Fueron
desarrollados por la International Organization for Standardization (ISO), una agencia
internacional especializada en estandarización compuesta por las organizaciones nacionales
de estandarización de 91 países.
ISP: Proveedores de Servicio en Internet.
KaZaa: Es el programa que más popularidad ha conseguido para el intercambio de ficheros.

¿Motivo? Es fácil, potente y sencillo de utilizar. Nos permite intercambiar ficheros y canciones
con amigos (y no tan amigos), de una forma sencilla y cómoda.
Laboratorio internamente conectado: Es un laboratorio dentro del firewall corporativo de la

compañía y la conexión a la red de producción corporativa.
Laboratorio: Un laboratorio es cualquier ambiente de no-producción, pensado específicamente

para desarrollar, demostrar entrenar y/o probar un producto.
LDAP: (Protocolo de Acceso de Directorio Ligero), es un juego de protocolos para acceder a

directorios de información.
Lista de control de acceso (ACL): Son listas guardadas por routers para controlar el acceso
al router para varios servicios (por ejemplo, prevenir paquetes con cierta dirección IP para dejar
una interfase particular en el router).
LOPD: Ley Orgánica de Protección de Datos.
LORTAD: Ley Orgánica de Regulación del Tratamiento Automatizado de Datos.
LSSI: son las iniciales de Ley de Servicios de la Sociedad de Información, aunque en realidad
su nombre completo es Ley de Servicios de la Sociedad de Información y Comercio
Electrónico. En la actualidad, esta iniciativa se encuentra en fase de Anteproyecto, previo a su
entrada y discusión en el Parlamento español.
MD5: En criptografía, MD5 (acrónimo de Message-Digest Algorithm 5, Algoritmo de Resumen

del Mensaje 5) es un algoritmo de reducción criptográfico de 128 bits amplimente usado. El
código MD5 fue diseñado por Ronald Rivest en 1991. Durante el año 2004 fueron divulgados
ciertos defectos de seguridad, lo que hará que en un futuro cercano se cambie de este sistema
a otro más seguro.
Módulo: Es una colección de instrucciones de lenguajes de computadora que se agrupan
lógicamente o físicamente. Un módulo también puede llamarse un paquete o una clase,
dependiendo del lenguaje de computadora que se use.
Napster: Napster es un programa creado en 1999 por el estudiante Shawn Fanning, más tarde
implementado en sitio web del mismo nombre, que permite a los usuarios de Internet diversas
acciones relacionadas con los ficheros de sonido MP3, de las cuales la más importante es la
búsqueda y descarga de piezas musicales en dicho formato.
NAT: Network Address Translation. Es un standard de Internet que le permite a una red local
(LAN) usar un grupo de direcciones de IP para el tráfico interno y otro grupo de direcciones
para el tráfico externo. Una tabla de NAT ubicada donde la LAN se conecta a Internet hace
todas las traducciones necesarias de IPs. La NAT sirve para tres propósitos principales:
Proveer un tipo de firewall al ocultar las direcciones de IP internas. Permitirle a una empresa
usar más direcciones de IP internas. Dado que son direcciones internas, no hay posibilidad de
conflicto con IPs usadas por otras empresas
NIC: (Network Information Center) Centro de Información sobre la Red. Registros delegados
para la gestión de los dominios en Red.
NOC: Centro de Operaciones de la Red (Network Operation Center). Es un grupo responsable

de la operación diaria de la red. Cada proveedor de servicios tiene su propio NOC; por lo que
es importante saber a cual llamar en caso de Emergencia.
NTFS: (New Technology File System) es un sistema de archivos diseñado específicamente

para Windows NT, con el objetivo de crear un sistema de archivos eficiente, robusto y con
seguridad incorporada desde su base. También soporta compresión nativa de ficheros y
encriptación, esto último sólo a partir de Windows 2000.
Organización ASP Sponsoring: Es un grupo dentro de la compañía que desea utilizar los
servicios de un ASP.
Organización de apoyo de red: Es cualquier organización de apoyo aceptada por InfoSec que
maneja la conexión de redes de las no redes de laboratorio.
OSF: (Open Software Foundation) Abra La Fundación Del Software.
P2P: o Peer-to-Peer (punto a punto, par a par o de terminal a terminal) son conexiones que
comunican dos ordenadores físicamente alejados, pero unidos por la red de Internet.
PBX: (Private Branch Exhange o centrales telefónicas privadas).
PCMCIA: Una tarjeta PCMCIA es un dispositivo normalmente utilizado en computadoras

portátiles para expandir las capacidades de este.
PDAs: (Personal Digital Assistants). El ayudante personal digital es un ordenador de mano

originalmente diseñado como agenda electrónica. Hoy en día se puede usar como un
ordenador doméstico (ver películas, crear documentos, navegar por Internet.).
PGP: (Pretty Good Privacy; Confidencialidad bastante buena) El más famoso de los programas
de encriptación objeto de gran polémica en Estados Unidos, de donde procede, ya que existen
leyes en ese país que impiden que los sistemas de encriptación puedan ser exportados. PGP
fue creado por Phil Zimmermann.
PKI: Public Key Infrastructure (Infraestructura de Clave Pública) y es la forma común de
referirse a un sistema complejo necesario para la gestión de certificados digitales y
aplicaciones de la Firma Digital.
PPP: (Point to Point Protocol). Protocolo punto a punto. Protocolo utilizado en Internet para
establecer enlace entre dos ordenadores remotos. Utilizado en la mayoría de las conexiones a
Internet domesticas a través de línea telefónica.
Principio de acceso menor: Es el acceso a servicios, hosts, y restricción de redes a menos

que se permitan por otra parte.
Producción: Es el software que está usándose para un propósito, o cuando el software esta
llevándose a cabo o probando.
Proprietary Encryption: Es un algoritmo que no se ha hecho público y/o no ha resistido

escrutinio público. El diseñador del algoritmo podría ser un vendedor, un individuo, o el
gobierno.
Punto de demarcación de la organización de apoyo de red: Es el punto que traslada la

responsabilidad de la conexión de redes de una organización de apoyo de red del laboratorio
DMZ. Usualmente un router o firewall.
RCP: Registro Central de Personal.
Recurso informático: Cualquier componente físico o lógico de un sistema de información.
Red-UJAT: Se entiende como la Infraestructura de cómputo en redes, comunicaciones y el

software disponible en la división para realizar las actividades de docencia, investigación,
difusión, divulgación y administración. Estos equipos podrán estar localizados en cualquier área
administrativa o cubículo de la división.
Remsh: El comando remsh permite ejecutar un comando en un sistema remoto sin iniciar una
sesión en dicho sistema.
Rexec: El control remoto ejecuta un comando tiene en cuenta la ejecución alejada de

programas para ocurrir.
RIAA: Recording Industry Association of America.
rlogin: Remote login Un servicio en los internets muy similares al telnet. RLOGIN fue
inventado para el uso entre los sistemas de Berkeley Unix en el mismo LAN en un momento en
que los programas del telnet no proporcionaron a todos los usuarios de servicios deseados.
RSA: Siglas de Rivest-Shamir-Ardleman, los tres inventores de la criptografía de clave pública.

La empresa RSA Data Security, (Redwood City, California, Estados Unidos) se ha hecho
famosa por sus algoritmos de encriptación ampliamente utilizados en la transmisión de datos
por redes de telecomunicaciones.
RSC-ANUIESUR: Red de Seguridad en Cómputo del consejo Regional Sur-Sureste de la

ANUIES.
SCADA: Acrónimo de Supervisory Control and Data Acquisition (en español, Supervisión de
Control y Adquisición de Datos).
Secure socket layer (SSL): (Capa de Conexión Segura) Protocolo creado por Netscape con el
fin de posibilitar la transmisión cifrada y segura de información a través de la red.
Servicios de Internet: Son servicios que corren en dispositivos que son rechazados de otros
dispositivos por una red. Los servicios de Internet mayores incluyen DNS, FTP, http, etc.
Servidor de producción crítico comercial: Es un servidor que es crítico a los

funcionamientos comerciales continuos de la compañía contratada.
SIIA-UJAT: Sistema Integral de Información Administrativa de la Universidad Juárez Autónoma
de Tabasco.
Site del Departamento de Redes y telecomunicaciones (DTR): Espacio designado en la

dependencia a los equipos de Telecomunicaciones y servidores.
SLIP: (Serial Line Internet Protocol). Protocolo de Internet para líneas serie. Es un protocolo
que permite la comunicación TCP/IP sobre líneas serie (típicamente una conexión por módem
a través de la red telefónica conmutada). Que permite a una computadora utilizar los protocolos
de Internet usando una línea telefónica estándar. Hoy en día ha sido casi desplazado por un
protocolo más moderno que es el PPP.
SMTP: (Simple Mail Transfer Protocol; Protocolo de transferencia simple de correo) Estándar
para el intercambio de correo electrónico que permite la interconexión de redes diferentes entre
sí. Este protocolo es uno de los englobados en TCP/IP.
Sniffer: programa que monitorea y analiza el tráfico de una red para detectar problemas o
cuellos de botella. Su objetivo es mantener la eficiencia del tráfico de datos. Pero también
puede ser usado ilegítimamente para capturar datos en una red.
Solución Antivirus: Recurso informático empleado en la UJAT para solucionar problemas con
virus.
SPAM: (bombardeo publicitario, buzonfia) Envío masivo, indiscriminado y no solicitado de

publicidad a través de correo electrónico. Literalmente quiere decir "loncha de mortadela".
Spoofing: Se produce cuando grupos de spammers falsifican una dirección de email para
ocultar el origen del mensaje de spam. Grupos de timadores por email o creadores de virus
también utilizan este método. Los primeros falsifican las direcciones para hacer creer a los
usuarios que el email procede de una fuente legítima, como por ejemplo un banco online. Del
mismo modo, los creadores de virus han circulado supuestos parches de seguridad
pretendiendo que proceden del soporte técnico de Microsoft.
SSH: es el nombre de un protocolo y del programa que lo implementa. Este protocolo sirve
para acceder a máquinas a través de una red, de forma similar a como se hacía con telnet. La
diferencia principal es que SSH usa técnicas de cifrado para que ningún atacante pueda
descubrir el usuario y contraseña de la conexión ni lo que se escribe durante toda la sesión;
aunque es posible atacar este tipo de sistemas por medio de ataques de REPLAY y manipular
así la información entre destinos.
SSL: (Secure Socket Layer): capa de socket Segura.
Symmetric Cryptosystem: (Cripto-sistema Simétrico), es un método de encripción en el que la

misma llave se usa para la encripción y desencripción de los datos.
T1: Conexión por medio de línea telefónica que transporta datos con velocidades de hasta
1.544.000 bps. Aunque no es lo suficientemente rápida para soportar vídeo con movimiento a
pantalla completa en tiempo real, es ésta la velocidad más usada para conectar redes en
Internet.
Telnet: Es el nombre de un protocolo (y del programa informático que implementa el cliente)

que permite acceder mediante una red a otra máquina, para manejarla como si estuviéramos
sentados delante de ella. Para que la conexión funcione, como en todos los servicios de
internet, la máquina a la que se accedía debe tener un programa especial que reciba y gestione
las conexiones.
TI-UJAT: Tecnologías de la Información de la Universidad Juárez Autónoma de Tabasco.
UJAT: Universidad Juárez autónoma de Tabasco.

Usuario: Cualquier persona que haga uso de los servicios proporcionados por la Institución de
Educación Superior, responsables de los equipos de cómputo, sistemas de información y redes
de telemática.
Virus informático: Pieza de código ejecutable con habilidad de reproducirse, regularmente

escondido en documentos electrónicos, que causan problemas al ocupar espacio de
almacenamiento, así como destrucción de datos y reducción del desempeño de un equipo de
cómputo.
VLAN: (Virtual Local Área Network) Red de área local virtual.
VPN: (Virtual Prívate Network) Red privada virtual.
WEP: Wired Equivalent Privacy. Es un protocolo de seguridad para WLANs definido en el

standard 802.11b. WEP está diseñado para proveer el mismo nivel de seguridad que en una
LAN clásica. Las LANs son básicamente más seguras que las WLANs porque las LANs están,
de hecho, protegidas por su propia estructura física, teniendo alguno o todos sus componentes
dentro de un edificio que pueden protegerse de accesos no autorizados. Las WLANs utilizan
ondas de radio y no tienen la misma estructura física y por ende son más vulnerables a la
intercepción . El WEP apunta a proveer medidas de seguridad.
Wi-FiTM : Estándar de Fidelidad Inalámbrica.
WLAN: (Wireless Local Área Network) redes de área local inalámbricas
WWW: World Wide Web (telaraña o malla mundial). Sistema de información distribuido con
mecanismos de hipertexto. Es el universo de servidores http, que permiten mezclar texto,
gráficos y archivos de sonido juntos.
Bibliografías
Libros
• Fred Halsall. 1998. Comunicación de datos, redes de computadores y sistemas

abiertos. Cuarta edición. Pearson Educación.
• Karanjit Siyan, Chris Hare. 1997. Firewalls y la Seguridad en Internet

Segunda Edición. Prentice-Hall Hispanoamérica
Capitulo 2 Seguridad.
• Randall K. Nichols, Panos C. Lekkas Seguridad para comunicaciones inalámbricas

Primera edición en español 2003. Mc Graw Hill
Manuales
• Manual de políticas Sur Sureste. Del 8 de Nov. Del 2002. Proporcionado por el
centro de Computo Universitario.
• Proyecto de políticas de seguridad de SANS. http://www.sans.org/
Sitios Web en Internet
[1] Nellys Guzmán. 1997 Transmisión de datos en Redes.

http://www.monografias.com/trabajos14/datos-redes/datos-redes.shtml
[2] José Luis López. VSantivirus No. 1134 Año 7, viernes 15 de agosto de 2003
Después de todo, es un simple gusano.
http://www.vsantivirus.com/apagon14-08-03.htm
[3] UNAM-CERT. 1998-2000. Estadísticas

http://www.cert.org.mx/estadisticas.dsc
[4] Belt Iberica 30 de Diciembre 2003. Las empresas lanzan un ataque contra los virus para
evitar pérdidas millonarias.
http://www.belt.es/noticias/2003/diciembre/30/empresas.htm
[5] Instituto Nacional de Estadística e Informática (INEI) 1997. Niveles de seguridad

http://www.inei.gob.pe/web/metodologias/attach/lib611/631.htm
[6] Instituto Tecnológico de Santo Domingo. 2000. Guías de la OCDE para la seguridad de
los sistemas de información y redes.
http://usuarios.lycos.es/truthkp/hobbies.html
[7] Área de seguridad en computo (UNAM). 2003. Seguridad en Cómputo.
http://www.asc.unam.mx/Tutoriales/Tutoriales/politicas/politicas.html
[8] UAM – Azcapotzalco. 26 de julio 2005. Esquema de seguridad.

http://ftp.azc.uam.mx/pub/antivirus/manuales/politicas.doc
[9] ArCERT 2000. Manual de Seguridad en Redes

http://www.arcert.gov.ar/webs/manual/manual_de_seguridad.pdf

http://www.asc.unam.mx/Tutoriales/Tutoriales/politicas/politicas.html
[11] Argueta Amador A. UDLA Puebla. 2001. Herramientas de seguridad

http://www.pue.udlap.mx/~tesis/lis/argueta_a_a/capitulo2.pdf

http://www.asc.unam.mx/Tutoriales/Tutoriales/cops/cops.html
[13] Departamento de seguridad (UNAM) 2003. Herramientas de seguridad.

http://www.unam-cert.unam.mx/herramientas.html#12
[14] Red IRIS. 17/10/2003. Seguridad en Redes y Sistemas.

http://www.rediris.es/rediris/boletin/35/enfoque2.html
[15] UNAM- CERT. 2003 Herramientas

http://www.unam-cert.unam.mx/herramientas.html
[16] ABCdatos. 23/04/2004. Seguridad en Sistemas.

http://www.abcdatos.com/programas/programa/l6492.html
[17] UNAM- CERT. 2003 Herramientas

http://www.unam-cert.unam.mx/herramientas.html#10
[18] Red IRIS. 17/10/2003. Seguridad en Redes y Sistemas.

http://www.rediris.es/rediris/boletin/35/enfoque2.html
[19] Softonic.06/05/2004. Herramientas de seguridad.

http://www.softonic.com/ie/22097/File_Backup_Watcher
[20] Daniel Ramón Elorreaga Madrigal. (UNAM). 1997 Firewalls y seguridad en Internet
http://www.monografias.com/trabajos3/firewalls/firewalls.shtml
[21] Antonio Villalón Huerta. Julio 2002. Seguridad en UNIX y Redes

http://es.tldp.org/Manuales-LuCAS/doc-unixsec/unixsec-html/node1.html
[22] Antonio Villalón Huerta. Julio 2002. Seguridad en UNIX y Redes

http://es.tldp.org/Manuales-LuCAS/SEGUNIX/unixsec-2.1-html/node1.html
[23]Ayuda Irc. 16/07/2001. Fundamentos de PGP.
http://www.ayuda-irc.net/pgp.shtml#fundamentos
[24] Departamento de Seguridad en Cómputo. Febrero 2001. Manual de uso Secure Shell.
http://www.ipicyt.edu.mx/cns/ManualUsoSecureShellDGSCA-UNAM.htm
[25] Argueta Amador A. UDLA Puebla. 2001. Herramientas de seguridad

http://www.pue.udlap.mx/~tesis/lis/argueta_a_a/seccion_2_2.pdf
[26] Universidad Nacional Autónoma de México.

http://www.seguridad.unam.mx/
[27] Universidad Juárez Autónoma de Tabasco.

http://www.redes.ujat.mx
[28] Benemérita Universidad autónoma de Puebla.

http://www.buap.mx/
[29] Instituto Tecnológico de Chetumal.

http://www.itchetumal.edu.mx/
[30]Instituto Tecnológico de Veracruz.

http://www.itver.edu.mx/
[31]Instituto Tecnológico de Villahermosa

http://www.itvillahermosa.edu.mx/frontpage.htm
[32]Instituto de Ecología.
http://www.ecologia.edu.mx/
[33]Instituto Tecnológico de Campeche

http://www.itcampeche.edu.mx/
[34]Instituto Tecnológico de Minatitlan.

http://www.itmina.edu.mx/index.htm
[35]Instituto Tecnológico de Tuxtepec.

http://www.ittux.edu.mx/
[36]Instituto Tecnológico de Tuxtla Gutiérrez

http://www.ittuxtlagutierrez.edu.mx/
[37]Universidad Veracruzana
http://www.uv.mx/
[38]Universidad Cristóbal Colon.

http://www.ver.ucc.mx/servicios/
[39]Universidad Autónoma del Carmen

http://www.unacar.mx/contenido/coordinacion/antivirus.html
[40]Universidad Autónoma de Yucatán.

http://www.uady.mx/sitios/seguridad/index.html
[41]Centro de Investigación Científica de Yucatán.

http://www.cicy.mx/
[42]Instituto Tecnológico de Oaxaca

http://www.itoaxaca.edu.mx/
[43]Instituto Tecnológico de Mérida

http://www.itmerida.mx/estudios/centrodecomputo/
[44]Universidad de Quintana Roo.

http://www.cucweb.uqroo.mx/
[45]Universidad Autónoma de Chiapas.

http://www.unach.mx/index.php?option=content&task=view&id=498
[46]Universidad de Ciencias y Artes de Chiapas.

http://www.unicach.edu.mx/
[47]Instituto Tecnológico del Istmo.

http://www.itistmo.edu.mx/index.htm
[48]Universidad autónoma Benito Juárez de Oaxaca

http://www.uabjo.mx/
[49]Universidad Autónoma de Campeche.

http://www.uacam.mx/Uacam.nsf?Opendatabase
Referencias consultadas para la elaboración de políticas
• Internet Solutions LTDA. 2005. Seguridad Física y Lógica, http://www.internet-

solutions.com.co/ser_fisica_logica.php
• Karanjit Siyan, Chris Hare. 1997. Firewalls y la Seguridad en Internet. Segunda

Edición. Prentice-Hall Hispanoamérica, s.a.
• Manual de políticas Sur Sureste. Del 8 de Nov. Del 2002. Proporcionado por el centro
de Computo Universitario.
• Internet Solutions LTDA. 2005. Seguridad Física y Lógica
http://www.internet-solutions.com.co/ser_fisica_logica.php
• Manual de políticas Sur Sureste. ANUIES. Del 8 de Nov. Del 2002

Proporcionado por el centro de Computo de ciencias Básicas.
• Guzmán Areola, Rochel Rodríguez. 2003. Mecanismos de seguridad en redes firewalls

y routers de selección.
http://www.geocities.com/siliconvalley/cable/3280/#¿QUÉ%20SON%20LOS%
20SERVIDORES%20PROXY%20Y%20COMO
• Ayuda en Red Undernet. Antivirus

http://www.canal-ayuda.org/virus/antivirus.htm
• Gloria Estor y Daniel Torres. Manual de funcionamiento, prevención y métodos de

Acción de los virus. 2005
http://mundopc.net/cursos/virus/virus12.php
• Video Sofá. julio de 2004. Todo sobre Virus.

http://ap.concytec.gob.pe/oficinas/administ/capacitacion
/temas/cultura%20informatica/virus.htm#¿QUE%20ES%20UN%20ANTIVIRUS?
• Todo sobre internet2. 2003. Internet2.

http://www.angelfire.com/al4/gen/documentos/tres_avances_tecnologicos.htm
• Windows 2000 server. Sistema de encriptación de archivos para Windows 2000

documento estratégico.
http://www.microsoft.com/spain/download/servidores/windows2000/Sistema-de-
encriptacion-de-archivos.doc
• Beatriz Ruiz de Azcarate. 05/01/2002. Introducción al ATM

http://www.dmacroweb.com/cp/salazarweb/antbuspre.asp?Cod=
1122&nombre=1122&orden=True
• El Centro de Arbitraje y de Mediación de la OMPI. 2004. Proveedores de servicios de

aplicación (ASP): Proyecto de mejores prácticas en materia de prevención y
solución de controversias
http://arbiter.wipo.int/asp/index-es.html
• INFOSEC. 2003. II Congreso sobre seguridad informática en UniNet

http://infosec.uninet.edu/infosec2003/pres.html
• IGALIA. 2004. Auditoria

http://www.igalia.com/
• Cybertangeles. 27/01/2005. Seguridad en el correo electrónico

http://www.cyberangels.org/international/sp/101/email/index.html
• Instituto Tecnológico de Santo Domingo. 2003. Políticas y Reglamentos para el Uso

Aceptable de los recursos de Redes del INTEC
http://www.intec.edu.do/estuadiantes/solicitud.html

• Microsoft Internet Data Center. 2003 Diseño de servidores de seguridad
http://www.microsoft.com/spain/download/technet/InternetDataCenter/RAG03.doc
• Hispazone. 05/11/2002. ¿Qué es P2P?

http://www.hispazone.com/conttuto.asp?IdTutorial=48
• Universidad Michoacana de San Nicolás de Hidalgo. May 7 del 2004. Política SW-01:
Dispositivos inalámbricos en la red universitaria
http://www.umich.mx/ccu/politicas/swo1-i.html
Referencia de imágenes
Figura. 1. Diagrama para el análisis de un sistema de Seguridad.

http://www.arcert.gov.ar/webs/manual/manual_de_seguridad.pdf
Figura. 2. Beneficios de un firewall de Internet.

Figura 3. Conexión circunvecina al firewall de Internet

Figura. 4. Conexión a un servidor remoto usando por ejemplo el comando telnet o ftp
Figura. 5. Permiten realizar la comunicación y transferencia de información de forma

cifrada.
Figura. 6. Como usuarios de los servicios de redes de nuestra institución, ¿Sabe usted qué
herramientas existen para resguardar la seguridad de las redes y telecomunicaciones?
Figura. 7. ¿Sabe si nuestra universidad cuenta con algunas de las anteriores?
Figura. 8. ¿Conoce usted a qué se refieren los problemas de seguridad en redes?
Figura. 9 ¿Tiene conocimiento de algún caso de problemas de seguridad en nuestra

institución?
Figura. 10. ¿Qué mejoras cree que se deban implementar para solucionar dichas fallas en
seguridad en redes?
Figura. 11. ¿Conoce las reglamentaciones actuales referentes a centros de computo y
seguridad en redes y telecomunicaciones de la UJAT?
Figura. 12. ¿Qué otros servicios de redes utiliza además de la consulta de paginas Web o el
correo electrónico institucional UJAT?
Figura. 13. ¿Cuenta con algún requerimiento especial para algunos servicios de redes?
Como son: telecomunicaciones, video conferencias, sesión remota y transferencia de
archivos FTP.
Figura. 14. ¿Utiliza el antivirus que proporciona la universidad?
Figura. 15. De manera general, desde el punto de vista del servicio. ¿Qué tan eficiente es el
servicio de Internet de nuestra red?
Figura. 16. ¿Cómo se encuentra tu equipo de computo (PC o estación de trabajo) en cuanto
al desempeño?
Figura.17. ¿Consideras que es necesario la implementación de nuevos equipos de computo

o de redes?
Figura.18. ¿Sabe si existen restricciones para páginas Web en cuanto a contenido?… (Por
ejemplo paginas para adultos, de entretenimiento, etc.)
Figura.19. Como consideras los servicios de red (Bueno, Malo, Regular, Pésimo) y el
estado de seguridad (Bueno, Malo, Regular, Pésimo)
Referencia de imágenes del Anexo
• Tabla. 1-A 1988-1989

• Tabla. 2-A 1990-1999

• Tabla. 3-A 2000 Incidentes.

• Tabla. 4-A Vulnerabilidades reportadas 1995-1999

• Tabla. 5-A 2000 Vulnerabilidades.

• Tabla. 6-A Reportes mensuales.
• Tabla. 7-A Asesorías.

• Tabla. 8-A 2004 Incidentes.

• Tabla. 9-A Estadísticas trimestrales.

• Tabla. 10-A Reportes por virus o gusanos.

• Tabla. 11-A Estadísticas por sistemas operativos.

• Tabla. 12-A Tipo de reporte

• Tabla. 13-A Junio-Noviembre 2004.

• Tabla. 14-A Porcentajes de virus y gusanos basados en reportes externos.

• Tabla. 15-A Asesorías.

• Tabla. 16-A 2005

• Tabla. 17-A Estadísticas trimestrales.

• Tabla. 18-A Principales problemas.

• Tabla. 19-A Estadísticas por Sistema Operativo.

• Tabla. 20-A Tipo de reporte.

• Figura. 20-B Las empresas aumentan gastos en seguridad.
• Figura. 21-B Daños económicos ocasionados por los virus.

• Figura. 22-B El gusano que más ordenadores ha infectado este año en España es el
Sobig.F.
• Figura. 23-B Los virus más extendidos.


Implementación de Politicas de Seguridad en Cómputo

Загружено:

Сведения о документе

Оригинальное название

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Implementación de Politicas de Seguridad en Cómputo

Загружено:

Авторское право:

Доступные форматы

Universidad Juárez Autónoma de Tabasco

División Académica de Ciencias Básicas

“Implementación de políticas de seguridad en

José Juan Márquez Córdova

Marzo 2006 Cunduacán, Tabasco.

Capítulo 3. Software necesario para la seguridad en cómputo 21

Capítulo 4. Seguridad en la red UJAT 37

Capítulo 5. Seguridad en otras instituciones. 49

Capítulo 7. Guías para la evaluación de las políticas de seguridad

Capitulo 8. Conclusiones 131

Si se estudia el ámbito de la información que un puesto de trabajo genera, se encuentran

Independientemente del carácter estimativo de las cifras anteriores, es evidente que un

En años recientes, las computadoras y las redes informáticas están creciendo

Desde un punto de vista educativo, la comunicación no es otra cosa que un proceso de

vías eficaces para transmitir la información estableciendo un proceso de comunicación

• Acceso a vastos recursos de información

Es relativamente excepcional encontrar en países en desarrollo computadoras centrales

vez tienen mayor capacidad de proceso, la convergencia de las tecnologías y la difusión

El número y el tipo de aparatos que integran la infraestructura de acceso se han

cambiar rápidamente ciertos datos de control considerados críticos a través de la red de

Un consejero de seguridad del gobierno de George W. Bush consultado anteriormente, dijo

Para Scott Charney, estratega principal de la seguridad en Microsoft, el Blaster afectó la

Cómo resultado, la propagación del gusano bloqueó un sistema SCADA (Supervisory

autómatas programables, etc.) y controlando el proceso de forma automática desde la

Según datos recientes del Centro de Emergencia a Incidentes de la Universidad Nacional

Los ataques informáticos se están convirtiendo en un problema de impredecibles

• Prueba. Debido a que en el desarrollo de un sistema no puede demostrarse que esté

• Certificación. La certificación consiste en garantizar que un sistema de información

La seguridad en cómputo es un conjunto de recursos destinados a lograr que los activos de

Cada uno de los puntos antes mencionados se refiere a lo siguiente:

• Confidenciales: Consiste en que la información debe ser leída por su propietario o

• Disponibles: Se refiere a que la información debe estar siempre disponible en el

2.1 Esquema de seguridad

Es vital mantener en constante capacitación tanto al personal antiguo como al nuevo

El primer paso a considerar en un esquema de seguridad, que muchas veces no recibe

Las recomendaciones con respecto a la seguridad física incluyen:

• Mantener las computadoras alejadas del fuego, humo, polvo y temperaturas

2.2 Políticas y procedimientos de seguridad

Algunos ejemplos de políticas que requieren la creación de un procedimiento son:

 Otorgar una cuenta

Para que esto sirva de algo, las políticas deben ser:

• Apoyadas por los directivos.

Al diseñar un esquema de políticas de seguridad, conviene dividir el trabajo en diferentes

De acuerdo a ello, podemos tener de manera generalizada la siguiente clasificación de

Políticas de cuentas: Estas establecen qué es una cuenta de usuario de un sistema de

• Las cuentas deben ser otorgadas exclusivamente a usuarios legítimos

• La longitud de una contraseña deberá siempre ser verificada de manera automática

Políticas de uso adecuado: Especifican lo que se considera un uso adecuado o inadecuado

• ¿Se permite irrumpir en cuentas ajenas?

• Está terminantemente prohibido ejecutar programas que intenten adivinar las

• La cuenta de un usuario es personal e intransferible, por lo cual no se permite que

Políticas de respaldos: Especifican qué información debe respaldarse, con qué

• El administrador del sistema es el responsable de realizar respaldos de la

¿Qué quiero proteger? Mis recursos: Personal, información, hardware, software,

• Acceso no autorizado: Utilizar recursos de cómputo sin previa autorización.

¿Cómo puedo/debo protegerlo? Cuales serán los mecanismos de infraestructura,

Antes de comenzar a desarrollar las políticas de seguridad, se tiene que preguntar:

• ¿Qué constituye un abuso en términos de desempeño del sistema?

¿Cuáles son los derechos y responsabilidades de los administradores?

• ¿Pueden monitorear o leer los archivos de los usuarios?

Ahora, es necesario tomar en cuenta diferentes escenarios, para contemplarlos a todos al

¿Qué puede llevar a que una política sea violada?

¿Qué debemos hacer si una política es violada?

Otorgar una cuenta