SEGURIDAD Y ALTA DISPONIBILIDAD

SAD_UT01

ADOPCIÓN DE PAUTAS DE
SEGURIDAD INFORMÁTICA
ÍNDICE
1 Fiabilidad, confidencialidad, integridad y disponibilidad..................................................................................4
2 Elementos vulnerables en el sistema informático. Hardware, software y datos. ...............................................6
2.1 Hardware, software y datos como elementos vulnerables. ......................................................................8
3 Análisis de las principales vulnerabilidades de un sistema informático. ......................................................... 10
4 Amenazas. Tipos. ......................................................................................................................................... 12
4.1 Amenazas físicas. ................................................................................................................................. 14
4.2 Amenazas lógicas. ................................................................................................................................ 15
4.3 Ejemplos de amenazas. ........................................................................................................................ 18
4.4 Geolocalización. ................................................................................................................................... 19
4.5 Redes zombies. .................................................................................................................................... 20
4.6 Wikis. .................................................................................................................................................. 21
4.7 Estadísticas. ......................................................................................................................................... 22
5 Seguridad física y ambiental. ........................................................................................................................ 24
5.1 Ubicación y protección física de los equipos y servidores....................................................................... 26
5.2 Sistemas de alimentación ininterrumpida. ............................................................................................ 27
5.2.1 Grupos electrógenos......................................................................................................................... 28
6 Seguridad lógica. .......................................................................................................................................... 29
6.1 Criptografía.......................................................................................................................................... 30
6.2 Sistemas asimétricos. ........................................................................................................................... 31
6.3 Listas de control de acceso. .................................................................................................................. 32
6.4 Establecimiento de políticas de contraseñas. ........................................................................................ 33
6.5 Utilización de sistemas biométricos de identificación. ........................................................................... 35
6.6 Políticas de almacenamiento. ............................................................................................................... 37
6.7 Copias de seguridad e imágenes de respaldo. ....................................................................................... 38
6.8 Recuperación de datos. ........................................................................................................................ 39
6.9 Realización de auditorías de seguridad. ................................................................................................ 40
7 Análisis forense en sistemas informáticos. .................................................................................................... 41
7.1 Objetivo del análisis forense................................................................................................................. 43
7.2 Recogida y análisis de evidencias. ......................................................................................................... 44
7.3 Herramientas del análisis I. .................................................................................................................. 46
7.3.1 Herramientas del análisis II. .............................................................................................................. 47

2
Adopción de pautas de seguridad informática.
Caso práctico

A María le han ofrecido un trabajo de administrativa en una pequeña empresa, pero debe encargarse además del
mantenimiento de los equipos informáticos. Tiene conocimientos a nivel usuario, sobre todo de hardware, y algún
amigo que la puede asesorar un poco, pero no le va a ser suficiente. A ella siempre le han gustado los ordenadores
y ha aprendido de manera autodidacta, pero no posee los conocimientos necesarios como para poder resolver
todos los problemas, sobre todo los relativos a la seguridad informática. Su jefe le ha comentado que está
preocupado con la seguridad del sistema porque un antiguo empleado se ha llevado mucha información, él no tiene
ni idea de ordenadores y quiere una persona de total garantía. A María siempre la han atraído los temas
relacionados con los delitos informáticos, hackers, virus y cosas parecidas, además, todo el mundo dice que hay
mucho futuro para gente con conocimientos de seguridad en informática. Para no perder el tiempo se ha comprado
algunos libros y ha decidido aceptar el trabajo y la responsabilidad de hacerlo bien. El primer paso será adquirir los
conocimientos básicos sobre seguridad y adoptar las pautas de seguridad básicas para poner el sistema en
funcionamiento.

3
1 Fiabilidad, confidencialidad, integridad y disponibilidad.

Caso práctico
La clave de todo sistema seguro es asegurar la fiabilidad, la confidencialidad, integridad y la disponibilidad de todos
los elementos de un sistema.

—Sé más o menos lo que significan esos términos. Voy a ver cuál es su significado para un sistema informático —
dice María.

María tratará de comprender qué es un sistema seguro, comprendiendo estos términos y para ello comenzará con
el diccionario.

—¡Es hora de volver a la biblioteca! ¡Empezamos a estudiar otra vez!

Un sistema de información se define como seguro, según la regla ISO 27002, si cumple con los elementos
básicos de la seguridad informática:

 Fiabilidad.

 Confidencialidad.

 Integridad.

 Disponibilidad.

Las definiciones propuestas por la Real Academia de la Lengua para estas palabras son:

 Fiabilidad: “Cualidad de ser fiable”. “Probabilidad de buen funcionamiento de algo”.

 Confidencialidad: “Cualidad de confidencial”. “Que se hace o se dice en confianza o con seguridad recíproca
entre dos o más personas”.
 Integridad: “Cualidad de íntegro”. “Que no carece de ninguna de sus partes”.
 Disponibilidad: “Cualidad o condición de disponible”. “Que se puede disponer libremente de ella o que está
lista para usarse o utilizarse”.

4
 Extrapolando estas definiciones a un sistema de información, se
puede decir que un sistema es fiable si funciona correctamente,
es decir, realiza las funciones para las que fue diseñado, es
confidencial si la información es accesible solamente para las
personas autorizadas, íntegro si el contenido de la información
transmitida no se altera o se altera solamente por personal
autorizado, y está disponible si el sistema funciona y si los
usuarios tienen acceso a todos los componentes del sistema,
aunque sea con diferentes niveles de seguridad.

Otra cualidad que debe cumplir un sistema seguro es el de no

repudio.

Esta cualidad se puede aplicar tanto en origen como en destino.

Por una parte, debe garantizar al emisor que la información fue entregada al receptor (no repudio en destino) y por
otra, ofrece una prueba al receptor del origen de la información recibida, el emisor no puede negar que emitió el
mensaje (no repudio en origen).

Esta cualidad es muy importante en el comercio electrónico para garantizar las transacciones realizadas y las entidades
participantes, aplicándose en los dos lados de la comunicación, no poder rechazar la autoría de un mensaje, ni negar
su recepción.

5
2 Elementos vulnerables en el sistema informático. Hardware,
software y datos.
Caso práctico
María ya sabe que debe cumplir un sistema seguro, pero ahora tendrá que aprender que es lo que tiene que
proteger, o cuáles son los puntos débiles de su sistema. Se lo ha comentado a su jefe y éste se ha quedado
estupefacto.

—Ahora sé cómo debe ser un sistema seguro, pero debo saber que elementos son los que hay que proteger —
afirma María.
—¡Y yo que pensé que con poner una contraseña era suficiente! —contesta su jefe.
—No, hay que analizar todos los elementos del sistema y ver cuáles son los más vulnerables —añade María.
—¿Cómo si analizáramos los puntos débiles de una casa? ¿Todo esto es necesario? —pregunta su jefe.
—Pues si se quiere que el sistema funcione de manera segura sí, siéntate un poco que te explicaré los elementos
que vamos a analizar —concluye María.

Veamos cuales son los puntos débiles del sistema para María.

La vulnerabilidad en un sistema informático hace referencia a las probabilidades que existen de que una amenaza se
materialice contra un activo.

No todos los activos son vulnerables a las mismas amenazas, por ejemplo, los datos son vulnerables a los hacker las
instalaciones eléctricas a los cortocircuitos.

Para saber más

En el siguiente enlace tienes más información sobre el concepto de hacker.

https://es.wikipedia.org/wiki/Hacker

Cuando se habla de las vulnerabilidades de un sistema se manejan conceptos como:

 Amenazas.

 Riesgos.

 Vulnerabilidades.

 Ataques.

 Impactos.

6
En la imagen se puede ver la relación que se podría establecer entre los términos anteriores. Una amenaza es un factor
que perjudicaría al sistema produciéndole daños aprovechándose de su nivel de vulnerabilidad.

Los riesgos indican la posibilidad de que se materialice o no una amenaza aprovechando las vulnerabilidades. También
se podría decir que una vulnerabilidad no existe si no existe amenaza. Es decir, si no hay vulnerabilidad, tampoco hay
riesgo de amenaza.

Los conceptos más claros son los de ataque e impacto, el ataque es la materialización de la amenaza y el impacto es el
daño causado al activo (cualitativo o cuantitativo).

7
2.1 Hardware, software y datos como elementos vulnerables.

Un sistema de información puede incluir como componente a un sistema informático. Los activos que forman parte
de un sistema de información son:

 Datos.

 Software.

 Hardware.

 Redes.

 Soportes.

 Instalaciones.

 Personal.

 Servicios.

Se podría definir un sistema de información, como un sistema constituido por instalaciones, personas, datos y
actividades que procesan datos e información en una organización. Puede incluir, o no, sistemas informáticos para
alcanzar sus objetivos. Un sistema informático está compuesto por:

 Hardware.

 Software.

 Datos.

 Personal.

Cada uno de estos activos presenta diferentes vulnerabilidades, las más claras de ver son
las vulnerabilidades asociadas al personal que maneja el sistema informático. Los fallos
humanos, intencionados y no intencionados, junto con la destreza o cualificación son las
vulnerabilidades más comunes asociadas a este activo. Los puntos débiles asociados al
hardware están relacionados con daños eléctricos, robos o desastres que impliquen una
destrucción física de los elementos que componen el hardware de un sistema
informático.

El software es el activo que nos ha preocupado más hasta ahora, las vulnerabilidades asociadas al software son
aquellas que permiten que haya usuarios que ejecuten programas o aplicaciones para las que no tienen permiso, ya
sea de manera local o remota. También aquí se engloban todos los programas o procesos que se ejecutan en un sistema
informático sin aceptación y que pueden causar un mal funcionamiento del mismo (un virus).

En cuanto a los datos, son el activo para el cual se diseñó el sistema, la seguridad que deben tener es la que asegure
que no sean conocidos por personas o procesos que no tengan autorización. Un dato será vulnerable sí está expuesto
a usuarios no autorizados, aunque estos usuarios ni los modifiquen, dañen o eliminen.

8
Autoevaluación
En el caso de un técnico informático que no tiene los conocimientos necesarios para operar con un
sistema informático:

Si opera con el sistema se podría producir una vulnerabilidad.

(No. Si opera con el sistema el sistema ya es vulnerable, es una certeza.)

Si no opera con el sistema, el sistema no es vulnerable.

(Sí. Si el técnico no opera con el sistema no hay riesgo.)

Se producirá un impacto porque hay amenaza sobre el sistema.

(Incorrecto. Si no opera con el sistema no puede haber vulnerabilidad, riesgo, amenaza, ni impacto.)

Si no opera con el sistema, el sistema es vulnerable, pero existirá riesgo de amenaza.

(Respuesta errónea. Si no opera con el sistema no hay vulnerabilidad ni riesgo.)

9
3 Análisis de las principales vulnerabilidades de un sistema
informático.
Caso práctico
Para analizar el sistema, María se ha dado cuenta de que debe seguir un proceso que más o menos está
estandarizado.

—Parece que todo el mundo sigue los mismos pasos —dice María.
—¿Pero menudo trabajo que te va a llevar todo esto? —añade su jefe.
—No te preocupes que nos va a merecer la pena. Vamos a hacer que el sistema sea seguro —concluye María.
—Pues adelante, eso es lo que quiero —añade su jefe.
El jefe de María poco a poco ve que la contratación de María ha sido un acierto, por otro lado, María se está dando
cuenta de que la seguridad de un sistema conlleva bastante trabajo.
—Bueno, ya habrá tiempo de hablar de revisiones de sueldo —piensa María.

María va a establecer los pasos necesarios para analizar las vulnerabilidades del sistema, y para ello, que mejor que
escribirlos para tenerlos siempre presentes. Todavía no ha tocado un ordenador, pero está haciendo lo más
importante, planificar la manera de actuar.

Un análisis de las vulnerabilidades implica un análisis de todos los componentes del sistema informático y una
valoración del impacto que un ataque causaría sobre el sistema. El objetivo principal de un análisis de este tipo es la
identificación, evaluación y priorización de las vulnerabilidades de seguridad en los sistemas informáticos.
Generalmente se utiliza una herramienta automatizada para escanear las vulnerabilidades, sobre todo el
descubrimiento de puertos y servicios en ejecución, muchas de estas herramientas están disponibles para su uso on-
line.

En la imagen se puede ver una de las herramientas que se pueden utilizar on-line simplemente registrándose en el
sitio web.

Para saber más

En el siguiente enlace accederás al sitio web de INTECO donde puedes descargarte Conan, una herramienta
de análisis de vulnerabilidades.

Conan (página no disponible, la herramienta ha sido sustituida por servicios online )

La imagen muestra uno de los informes generados por la herramienta

Conan, en este caso se analizan los puertos que tiene abiertos el sistema,
así como el proceso asociado a cada uno de los puertos.

10
El proceso a seguir para analizar un sistema comprende varios pasos:

 Identificar los activos del sistema.

 Identificar las medidas de seguridad existentes.

 Descubrir las vulnerabilidades.

 Valorar las posibles amenazas.

 Establecer los objetivos de seguridad de la organización.

 Valorar los daños que produciría un ataque.

 Seleccionar las medidas de protección posibles.

11
4 Amenazas. Tipos.

Caso práctico
Una vez analizado el sistema se han visto los posibles defectos en la seguridad del sistema y ahora toca saber qué
tipo de amenazas se pueden dar.

—¡Pues sí que hay peligros! Si se entera mi jefe de todo lo que le podría pasar no duerme en varios días. Le parecería
que pueden entrar al sistema atravesando la pantalla y robarnos todo —piensa María.

María va a investigar sobre los tipos de amenazas que se pueden dar sobre el sistema y aquellas que se están dando
en las redes actuales con más frecuencia.

Una amenaza es una circunstancia que podría afectar al sistema aprovechando alguna vulnerabilidad de éste. Si un
sistema no es vulnerable no existen amenazas, pero la realidad es que todos los sistemas son vulnerables en mayor o
menor medida.

Un sistema informático está formado básicamente por una parte física (hardware), una parte lógica (software) y los
datos. Cada una de estas partes puede tener diferentes vulnerabilidades. La existencia de estas vulnerabilidades
implica que las amenazas posibles se puedan clasificar en dos grandes grupos:

 Amenazas físicas.

 Amenazas lógicas.

Pero también se puede clasificar a las amenazas en función de la manera que tienen de interferir con los datos en:

 Interrupción.

 Interceptación.

 Modificación.

 Fabricación.

12
El gráfico de la imagen es una representación de los distintos tipos de amenazas.

Los círculos de color verde pueden representar al emisor y al receptor de una comunicación o datos antes y después
de un proceso. El círculo de color rojo representa a la amenaza de la comunicación o del proceso.

Las flechas de color azul representan las transacciones o acciones legítimas y las flechas de color rojo representan las
que no se deberían dar.

De la figura se puede deducir que las amenazas más perjudiciales son las de modificación y fabricación, en este tipo
de amenazas el receptor puede recibir datos que sean totalmente diferentes a los datos originales, o los datos pueden
sufrir una transformación nada deseable.

13
4.1 Amenazas físicas.

Las amenazas físicas para el sistema son las producidas por el hombre, accidental o intencionadamente, y por la
naturaleza. Las amenazas más comunes de este tipo son:

 Robos.

 Sabotajes.

 Incendios.

 Inundaciones.

 Calidad del aire (humedad relativa).

 Fallos en el suministro eléctrico.

 Desastres naturales (terremotos, inundaciones).

En la imagen se puede observar el daño que las amenazas físicas pueden causar
a los componentes de un equipo informático, en este caso los condensadores
de la placa.

Estos daños pueden deberse a fallos en la corriente eléctrica, mala ventilación

o temperatura inadecuada.

En la tabla se muestran diferentes amenazas físicas junto con los daños que pueden causar en los sistemas
informáticos.

AMENAZA DEFINICIÓN DAÑO

Temperatura en la sala de servidores, el Fallos en el funcionamiento de los equipos. Disminución

Temperatura del aire.
armario de conexiones o los equipos. de la vida de los equipos.

Filtraciones de Daños en los pisos, el cableado y los equipos causados

Filtraciones de agua y otros líquidos.
líquidos. por líquidos.

Daños involuntarios causados por el

Error humano y Daño a los equipos y pérdida de datos. Robo o sabotaje
personal. Ingreso no autorizado y/o por la
acceso del personal. de equipos.
fuerza al CPD.

Incendio de equipos eléctricos o Fallos en los equipos.

Humo e incendios.
materiales. Pérdida de bienes y datos.

Situaciones de riesgo para el personal. Mal

Productos químicos suspendidos en el aire
Calidad del aire. funcionamiento de equipos y dispositivos por
y partículas de polvo.
obstrucción de filtros y ventiladores.

14
4.2 Amenazas lógicas.

Las amenazas lógicas están relacionadas en su mayoría con el software que causa un mal funcionamiento en el sistema
y que ha sido creado de manera intencionada o no. Las amenazas lógicas más importantes se podrían clasificar en los
siguientes grupos:

 Malware.

 Ingeniería social.

 Ataques DoS (Denegación de servicio).

 De modificación.

 Suplantación.

 Monitorización.

El malware está constituido por software que recibe nombres como:

 Bugs.

 Caballos de Troya.

 Backdoors.

 Bombas lógicas.

 Virus.

 Gusanos.

 Spyware.

 Cookies.

El malware, generalmente creado de manera intencionada, también se puede

crear de manera accidental, en este caso, recibe el nombre de bug. Es un error
en el software, generalmente cometido en el diseño. Los más comunes son los
que se encuentran en los sistemas operativos. Para detectar estos fallos hay que
someter al software a múltiples pruebas y, aun así, a veces no se detectan. Es en
el momento de ponerlo en funcionamiento cuando los usuarios van detectando
fallos. Para solucionar estos fallos se diseñan modificaciones o actualizaciones
del software que comúnmente se denominan “parches”.

15
 Para saber más
En el siguiente enlace podrás ver cuál fue el primer bug detectado de la historia.

El primer bug de la informática

Los caballos de Troya o comúnmente llamados troyanos, son un tipo de software que se denomina de esta manera
porque funciona de una manera similar a lo que ocurrió en la batalla de Troya. Se introduce en nuestro sistema
simulando ser algo atractivo para el usuario y al ejecutarse produce efectos indeseables. Un método común de
contagio es descargando software de Internet.

Las backdoors o puertas traseras son muy difíciles de detectar y permiten al atacante el acceso a una máquina remota
sin que el propietario lo detecte, instalando programas servidores en la máquina objetivo, y permitiendo la interacción
con el atacante. El atacante puede borrar ficheros, abrir puertos o acceder a datos confidenciales. Las backdoors se
crean en el desarrollo del programa, son los programadores los encargados de no dejar estas vulnerabilidades cuando
construyen el código.

Las bombas lógicas son programas que se ejecutan en el sistema cuando se cumplen una serie de condiciones
causando algún daño. Las condiciones son establecidas por el atacante, por ejemplo, un programa que al finalizar su
licencia borrara archivos para impedir su funcionamiento si no se vuelve a pagar por la renovación de dicha licencia.
Otro ejemplo de bomba lógica es el software diseñado para saturar buzones de correo electrónico y conseguir una
DoS (Denial of Service) en el servidor de correo.
De todo el software que se clasifica como malware, el más conocido, o al que más se hace referencia, en muchas
ocasiones de forma errónea, es el virus. La mayoría de los usuarios, cuando un equipo funciona mal o tiene un
programa extraño que modifica su funcionamiento, sospechan que el equipo tiene un virus. Un virus es un código que
se enmascara en un fichero ejecutable, de forma que, al ejecutar dicho fichero, el virus también se ejecuta. En
apariencia, parece que un virus es igual que un troyano, pero no es así. La diferencia fundamental entre un troyano y
un virus consiste en su finalidad. Un troyano sólo tiene que acceder y controlar la máquina anfitriona sin ser advertido,
normalmente bajo una apariencia inocua, mientras que un virus es un huésped destructivo, el troyano no
necesariamente provoca daños porque no es su objetivo.

A diferencia de los virus, existe un tipo de software que no necesita esperar a que se ejecute ningún fichero o programa,
los gusanos tienen esa capacidad, residen en memoria y se duplican a sí mismos. No necesitan de la intervención de
una persona para replicarse, como es el caso de los virus, y tampoco necesitan de ningún fichero para propagarse.
Otra diferencia es que un virus puede destruir ficheros, mientras que un gusano principalmente ocupa ancho de banda
en la red o consume recursos del sistema, ralentizando su funcionamiento.

Los spyware roban información y la envían al atacante sin que el usuario objetivo se entere, las contraseñas de las
cuentas bancarias son su principal objetivo. A diferencia de los virus y los gusanos, no alteran el funcionamiento de la
máquina y es muy difícil descubrirlos.

16
Las cookies son archivos que almacenan información sobre un usuario de Internet en su propio ordenador, y se suelen
emplear para asignar a los visitantes de un
sitio de Internet un número de identificación
individual para su reconocimiento
subsiguiente. Hay software que puede
transmitir información contenida en las
cookies, esto se puede considerar como una
especie de spyware, puesto que está
revelando información del usuario (sitios por
los que ha navegado). En la imagen se
muestran las cookies asociadas al usuario
“tomas”, y un detalle del contenido de una de
las cookies, la correspondiente a la asociada a la visita a la web www.google.es. Este tipo de información para alguien
que quiera saber dónde navega un usuario de Internet es muy valiosa, sobre todo para fines comerciales. En si las
cookies no son un software maligno, pero se pueden emplear para causar molestias al usuario espiado.

Virus, gusanos, troyanos y backdoors son programas ocultos dentro de otro fichero. Se ejecutan
automáticamente, haciendo copias de sí mismo dentro de otros programas a los que infectan.
Dependiendo del modo en que atacan y se propagan, reciben un nombre u otro.

17
4.3 Ejemplos de amenazas.

Las amenazas más comunes están estrechamente relacionadas con el tipo de uso que se hace del sistema informático,
en la actualidad la gran mayoría de los usuarios utilizan los sistemas informáticos para conectarse a redes sociales y
éstas son un foco de infecciones para todos los sistemas que intervienen. Si se listaran las principales amenazas contra
las que los fabricantes de soluciones de seguridad tienen pensado fabricar productos, se tendría una lista como la
siguiente:

1. Uso indebido de las redes sociales (servicios de abreviación de URL, servicios de geolocalización, etc.).

2. Uso de dispositivos móviles en entornos empresariales (IPhone).

3. Televisión por Internet.

4. Imitación de la legitimidad: Koobface o VBManic.

5. Redes zombies: Botnet.

6. Hackismo: Wikileaks.

7. Amenaza persistente avanzada.

8. Virus de ataque a centrales nucleares: Stuxnet.

El auge de las redes sociales es tal, que hoy en día casi todos los usuarios de productos informáticos están, o han
estado, presentes en algún tipo de red social. En muchas ocasiones las direcciones URL empleadas son demasiado
largas y dejan poco espacio para escribir la información que se quiere intercambiar. Para solucionar esto, se ofrece en
muchos portales el servicio de abreviación de URL, con este servicio se puede convertir una dirección larga en otra
abreviada más fácil de manejar.

Para saber más

En el siguiente enlace podrás acceder a un sitio web donde transformar una URL en una URL abreviada.

URL abreviada

En la imagen se puede ver cómo en este portal se da la opción de cambiar una URL de gran longitud, la dirección
http://www.infoalisal.com/correo/src/login.php, en otra dirección http://alturl.com/aohr8, que es mucho más
corta.

Estas direcciones son equivalentes, se pueden utilizar indistintamente porque nos llevan al mismo sitio. En este
ejemplo se nota la ventaja en cuanto a espacio ocupado por una y otra dirección. La amenaza de este tipo de servicios
consiste en que al traducir las URL originales puede haber un ataque que convierta la dirección resumida en una
dirección de un sitio web con contenidos maliciosos no deseados. El poder introducir más caracteres hace que este
tipo de servicio sea atractivo para el usuario y al tiempo para los desarrolladores de malware porque ven en él un
hueco para poder captar información, sobre todo en las redes sociales.

18
4.4 Geolocalización.

La geolocalización utilizada tanto en redes sociales como en dispositivos móviles,

dependiendo del dispositivo y de los servicios disponibles, utiliza una combinación
de red de telefonía, Wi-Fi y GPS para averiguar dónde se encuentra una persona,
qué redes sociales utiliza, cuáles son sus intereses y qué sistema operativo y
aplicaciones utiliza.

Los usuarios que publican información con estos servicios, sin analizar con quienes
la comparten, están expuestos a una doble amenaza, ser víctima de delitos
informáticos y de ataques físicos.

La imagen muestra el servicio de localización de un dispositivo móvil de última

generación.

Otro agujero de seguridad derivado del uso de estos dispositivos lo constituye la

conexión a Internet utilizando la red del lugar de trabajo. Con esta práctica se
pueden mostrar datos que hagan peligrar la seguridad de la red.

En cuanto a la televisión por Internet, el constante aumento de este servicio va a

provocar que aparezcan numerosas aplicaciones que pongan en peligro datos privados y de identidad.

Los mensajes atractivos imitando la legitimidad entre usuarios que son confiables, en el caso de las redes sociales,
entre amigos, pueden llevar consigo malware como el Koobface y robar datos personales del usuario infectado. Estos
mensajes suelen llevar como asunto alguna noticia conocida, de actualidad o muy atractiva.

Para saber más

En el siguiente enlace podrás encontrar información sobre Koobface.

https://es.wikipedia.org/wiki/Koobface

19
4.5 Redes zombies.

Las redes zombies o Botnet son equipos infectados por un malware que permite a los creadores manejarlos a distancia
sin que los propietarios se den cuenta. Los equipos infectados se manejan como una red utilizando un software llamado
bot. La infección se lleva a cabo a través de envíos masivos de spam ofreciendo vídeos o descargas de ficheros en los
que se pide que se descargue además un códec especial para poder utilizarlo.

En la imagen se puede observar la disposición de una red zombie y un resumen del proceso.

1. Un pastor de la red botnet envía un programa malicioso para infectar a los usuarios.

2. El programa bot actúa dentro del ordenador víctima.

3. El spammer compra el acceso a la red bot al pastor.

4. El spam es lanzado a los ordenadores víctimas.

Las direcciones de origen de estos ataques son las de los equipos infectados, que no se corresponden con el causante
del daño. Cuando las autoridades investigan el origen de dicho ataque, lo que van a encontrar son víctimas que no
sabían lo que sus equipos estaban realizando.

El operador de la red ordena a los zombies que capturen direcciones de correo electrónico y les envíen la publicidad
que el cliente ha pagado por enviar. Existe un mercado de bots en el que se pagan hasta 4 céntimos semanales por
cada bot.

Para saber más

En el siguiente enlace podrás leer la noticia relacionada con la desarticulación de la red zombie Mariposa.

Mariposa

20
4.6 Wikis.

Otra amenaza para los sistemas informáticos es la que constituyen los hackers y las organizaciones que se dedican a
publicar contenidos de manera libre (wikis) y que abren dichos espacios para que los usuarios puedan editar la
información. Estas plataformas de información son un peligro para la privacidad de usuarios y organizaciones, porque
cualquier empleado despechado, o usuario con ganas de hacer pública la información confidencial a la que tiene
acceso, puede crear serias vulnerabilidades en la seguridad de las organizaciones atacadas.

Las consecuencias de este tipo de amenazas se han podido comprobar con los escándalos publicados en WikiLeaks.

Para saber más

En el siguiente enlace podrás encontrar más información sobre lo que es wikileaks.

Wikileaks

Para los organismos, gobiernos o empresas las wikis son peligros potenciales, pero también existen las llamadas
amenazas persistentes avanzadas (APT), uno de los ataques realizados bajo esta denominación se ha bautizado con
el nombre de “Operación Aurora”, en el que 34 empresas multinacionales sufrieron robo de información a través de
un malware y hubo un conflicto entre la empresa Google y el gobierno chino. El ataque siguió la metodología siguiente:

 Un usuario recibe un mensaje atractivo con un programa para ser ejecutado.

 El usuario ejecuta el programa e instala un programa que permite el acceso remoto de un usuario no
autorizado.

 El atacante accede de manera remota al ordenador de la víctima y copia información del equipo.

En sí, la manera de actuar no difiere de cualquier malware, lo que es característico es que, después de investigaciones
hechas por empresas de seguridad, se llega a la conclusión de que son ataques permitidos en cierta medida por
gobiernos o grandes empresas. Son robos de información muy bien planeados, una especie de espionaje industrial o
gubernamental.

Y no menos importante que el espionaje a gobiernos o grandes empresas son los ataques a lugares donde la seguridad
es un factor vital como en las centrales nucleares. Dentro de esta categoría existen ataques como el producido por
Stuxnet, este gusano es capaz de reprogramar sistemas, con el consiguiente peligro para este tipo de instalaciones en
las que su funcionamiento se basa en este tipo de sistemas.

Para saber más

En el siguiente enlace podrás encontrar más información sobre Stuxnet

Stuxnet

21
4.7 Estadísticas.

Las estadísticas reflejan que las principales amenazas registradas son las producidas por troyanos, virus y gusanos. Uno
de los troyanos más detectados ha sido:

Trojan.Win32.Generic!BT

En la imagen se puede ver el porcentaje de la incidencia de este troyano respecto a otro tipo de infecciones durante
los meses de enero y febrero del año 2011.

Las listas del malware más común las emiten en muchas ocasiones fabricantes de soluciones de seguridad, lo que
conduce a considerar las peores amenazas aquellas a las que son capaces de combatir (táctica comercial), por lo que
estas pueden ser variables en su composición. Los últimos análisis extraídos del CCN-CERT arrojan un resultado del
que se puede extraer que el porcentaje de malware detectado se distribuye de la siguiente forma:

 Troyanos (70%).

 Virus (16%).

 Gusanos (7%).

 Adware (2,27%).

 Aplicaciones de puerta trasera (1,89%).

22
En cuanto a los virus, en la imagen se puede ver una captura de pantalla del CERT de Inteco con las detecciones hechas
durante el mes de mayo del año 2011, en la que se aprecian los virus más detectados en ese periodo. Lo normal es
que el malware detectado sea variable con el tiempo, a medida que surge el código malicioso van apareciendo las
soluciones para contrarrestarlo, por lo que el nombre de los virus detectados cambia.

En la imagen también se puede observar la fecha de la primera detección de cada uno de los virus. Es sorprendente
que haya virus cuya detección primera fuera en el año 2004 y aún haya equipos en el año 2011 que se infecten.

23
5 Seguridad física y ambiental.

Caso práctico
Entre las medidas que se tomarán en la empresa es necesaria una reubicación de los equipos informáticos, están
demasiado desprotegidos de golpes y otros peligros. María entabla una conversación con el responsable del
almacén.

—Vamos a tener que cambiar de sitio los ordenadores porque están demasiado expuestos al polvo del almacén.
—¡Pues no sé dónde ponerlos!
—Hay que ponerlos en un sitio donde no se les pueda golpear, lejos de las ventanas y haya menos polvo.
—¡Lo que nos faltaba!
—Y además tendrás que pensar en comprar un SAI porque cada dos por tres perdemos la corriente y esto puede
perjudicar mucho al sistema.
—¿Eso es muy caro?
—Pues intentaremos buscar la mejor calidad-precio posible.

Parece que la empresa está sufriendo una revolución, pero está perfectamente justificada para poder alcanzar los
objetivos previstos. Lo primero es empezar con la parte física, veamos cuales son las recomendaciones.

Las normas de seguridad física y ambiental establecen las normas para

evitar los accesos no autorizados, daños e interferencias en el sistema de
información de la organización.

Estas normas deberán permitir el ingreso a las zonas restringidas

solamente a las personas autorizadas y establecer las condiciones
ambientales necesarias para que los elementos del sistema informático
funcionen correctamente.

El objetivo principal de la seguridad física es proteger el sistema

informático, para ello, las normas establecidas se dirigen a protegerlos de los siguientes agentes:
 Personal no autorizado.

 Agua.

 Fuego.

 Temperatura.

 Suciedad.

 Fallos en el suministro eléctrico.

24
Las medidas que se adoptan para proteger al sistema informático del personal no autorizado, el agua, la temperatura
o la suciedad implican escoger una ubicación adecuada de los equipos informáticos, se busca el mejor emplazamiento
para que las condiciones sean óptimas:

 Para la construcción de los edificios y las salas que contengan los equipos.

 Para poder luchar contra catástrofes naturales como incendios, inundaciones o terremotos.

 Para la temperatura, humedad y calidad del aire.

En cuanto a la protección contra los fallos de suministro eléctrico, todas las medidas van dirigidas al empleo de
sistemas de alimentación ininterrumpida (SAI).

Los SAI varían en tamaño y prestaciones, pueden ser como el que se muestra en la figura, empleados para garantizar
la electricidad en un centro de datos o del tamaño de una caja de zapatos, empleados en los equipos de los usuarios
convencionales.

La diferencia entre unos y otros estará en parámetros como la autonomía y la potencia que son capaces de suministrar.

25
5.1 Ubicación y protección física de los equipos y servidores.

El ordenador servidor es el que almacena la información más valiosa en una instalación. En él se pueden almacenar
tanto datos como aplicaciones que son imprescindibles para los usuarios. Como consecuencia, la obsesión principal,
cuando se trata de la seguridad de una instalación, es salvaguardar el o los servidores de personas y factores
medioambientales que puedan perjudicar su funcionamiento.

La ubicación de los equipos y servidores debe ser aquella en la que:

 Sea lo más inaccesible posible para los usuarios no autorizados.

 Reúna las condiciones geográficas más favorables para poder soportar cualquier tipo de catástrofe
natural.

 Soporte unas condiciones ambientales que garanticen su buen funcionamiento.

En la imagen anterior se puede ver un plano de la posible disposición de los equipos en un CPD. Es fácil observar como
los equipos destinados a almacenar los datos se sitúan en una sala determinada (equipos de color negro), se suele
denominar sala fría. Las dependencias dedicadas al control se sitúan fuera de esta sala, con mecanismos de control de
acceso a dicha sala.

Para saber más

En el siguiente enlace podrás ver el interior de un CPD.

Interior de un CPD - REMODELACION DEL CENTRO DE DATOS

26
5.2 Sistemas de alimentación ininterrumpida.

Los sistemas de alimentación ininterrumpida (SAI), son aquellos capaces de proporcionar corriente eléctrica a partir
de un acumulador o de otra forma de energía (mecánica o de combustión). En el lenguaje coloquial se denomina SAI
al dispositivo utilizado en pequeñas instalaciones y grupo electrógeno cuando el sistema es grande y de combustión.

La forma más sencilla de SAI es la de un dispositivo que se alimenta de corriente eléctrica incorporando un acumulador,
que es el encargado de suministrar la energía cuando falla el flujo de la red eléctrica. Las partes más importantes de
las que consta un SAI son:

 Rectificador: Convierte la corriente alterna en tensión continua para cargar la batería.

 Baterías: Almacenan la energía que se utiliza para seguir alimentando los dispositivos cuando hay un
corte de flujo eléctrico.

 Convertidor: Convierte la tensión continua de la batería en tensión alterna.

En la imagen se puede ver una representación esquemática de las partes de un SAI. En condiciones de flujo eléctrico
normal el ordenador se alimenta a través del circuito de color verde. Si ocurriese un fallo de alimentación, entraría en
funcionamiento el circuito rojo que obtiene la energía de la batería.

Los SAI se pueden clasificar en:

 OFF-LINE o STAND BY.

 ON-LINE.

 SAI INTERACTIVO o de LINEA INTERACTIVA.

El SAI de tipo OFF-LINE es el más extendido y tiene como función proteger a equipos domésticos como los PC.

Cuando el flujo de corriente eléctrica falla, los SAI entran en funcionamiento, el intervalo de tiempo que
transcurre en ausencia de corriente eléctrica es apreciable. Son equipos que debido a su bajo coste no
proporcionan un flujo de corriente de gran calidad. No protegen totalmente a la carga de las perturbaciones
en la red normal, puesto que no la aíslan.

27
El SAI ON-LINE se caracteriza porque a diferencia del OFF-LINE, se intercala entre el suministro de red normal y la carga
que se quiere alimentar. Se utilizan en el entorno industrial más que a nivel usuario.

Proporcionan una salida de corriente alterna independiente de la red normal, esta corriente se genera a
partir de la corriente continua almacenada en las baterías. Además, proporcionan aislamiento entre la
carga y la red normal, protegiendo a la carga frente a cualquier anomalía del flujo en la corriente eléctrica.

Una solución intermedia entre los dos anteriores la constituyen los SAI de tipo INTERACTIVO. Estos dispositivos se
intercalan entre la red y la carga a la que protegen.

No aíslan completamente de la red normal, aunque sí ofrecen una protección frente a fluctuaciones dentro
de unos márgenes.

El tiempo que transcurre entre el fallo en la red y la entrada en funcionamiento del SAI, del orden de
milisegundos, es inapreciable.

5.2.1 Grupos electrógenos.

Aparte de los SAI, existen dispositivos que proporcionan alimentación

eléctrica ininterrumpida a partir de energía diferente a la eléctrica, son
comunes los que utilizan motores de combustión (gasóleo, gas,
gasolina) para generar energía mecánica y transformarla en energía
eléctrica.

En la imagen se ve el aspecto exterior de un grupo electrógeno, en la

que se puede distinguir la parte eléctrica de la parte mecánica. Es en
la parte mecánica donde se genera el movimiento necesario para
poder generar electricidad.

Para saber más

En el siguiente enlace podrás ver una explicación del principio de funcionamiento de un grupo
electrógeno.

Generación de electricidad en un grupo electrógeno - Grupos Electrógenos - funcionamiento

Para saber más

En el siguiente enlace podrás ver en qué consiste un motor diésel.

Motor diésel - Grupo Electrógeno Perkins

28
6 Seguridad lógica.

Caso práctico
Una vez que se han ubicado todos los equipos informáticos en su sitio hay que empezar con el software. María está
estudiando varias posibilidades, pero ha empezado por establecer una política de contraseñas muy estricta. María
y su jefe dialogan sobre la seguridad de la empresa.

—¿Pero ¿qué pasa? No puedo entrar a mi ordenador.

—Un momento que ahora te digo tu contraseña.
—¿Me has puesto contraseña?
—Sí, y además solamente tú por ser el jefe y yo como encargada de la seguridad en la red debemos saberla.
—¿Y los demás?
—Los demás entrarán al sistema con una contraseña y unos privilegios que estableceré yo misma.
—¿Tú crees que es una buena idea?
—Es la mejor, cuanta menos gente tenga poder para cambiar cosas en el sistema mejor. ¿O crees que tendría que
haber más de un jefe en tú empresa?
—Tienes razón, como siempre, pareces un policía.
—Es que de ahora en adelante funcionaré como un policía del sistema informático para esta empresa.

El jefe de María cada día está más contento con el aspecto que va tomando la situación, porque ve como el
funcionamiento de su informático va tomando un carácter más serio.

A parte de las contraseñas veamos cuales son otras medidas que se pueden tomar.

La seguridad lógica tiene como objetivo paliar o impedir todos los daños que se puedan producir por la materialización
de las amenazas lógicas.

La seguridad lógica y la física se complementan y tienen como objetivo proteger el software de los equipos
informáticos, las aplicaciones y los datos de los usuarios.

La imagen representa un intercambio de información entre dos usuarios empleando un mecanismo de seguridad lógica
para conseguir que la información transmitida no sea accesible a personas no autorizadas.
Los objetivos de la seguridad lógica serán:
 Impedir un acceso fácil a programas, archivos o datos para evitar robos o pérdidas de información.

 Conseguir que la información transmitida sea recibida sólo por el destinatario al cual ha sido enviada.

 Verificar que la información recibida sea la misma que la transmitida.

 Habilitar sistemas alternativos para la transmisión o almacenamiento de datos.

 Establecer medidas de análisis que permitan mejorar el funcionamiento de todo el sistema.

29
6.1 Criptografía.

Criptografía, por definición de la RAE, es el “arte de escribir con clave secreta o de un modo enigmático”. Por lo tanto,
es una medida de seguridad lógica para proteger los datos enviados en una comunicación.

Desde que el ser humano inventó sistemas para guardar información (como la escritura), ha tenido la necesidad de
ocultar dicha información cuando la comunicación se pretende que sea confidencial.

En la imagen se puede ver uno de los primeros mecanismos de encriptación utilizados por los griegos (escítala).

Con este método solamente se podía descifrar el mensaje si se poseía un palo del mismo diámetro y forma (puede no
ser uniforme) que el que había utilizado el emisor. Como se puede ver, solamente se leerá la palabra “ESCITALA” con
un palo igual al de la figura, si el diámetro varía será imposible alinear las letras para conseguir dicha palabra y al
desenrollar el papel nos puede quedar una sucesión de letras del tipo.

EABESEDADSBDFCBIFTFBASAITOUHQQRSAALAMARSUV

La criptografía actual es un proceso en el que un mensaje se cifra, por lo tanto, se protege, utilizando algoritmos y
claves secretas o públicas que solamente deben conocer el emisor y el receptor del mensaje. Existen diferentes
sistemas de cifrar la información, a estos sistemas se les denomina criptosistemas, que según la clave empleada se
pueden clasificar en:

 Sistemas de cifrado con clave secreta o sistemas simétricos.

 Sistemas de cifrado con clave pública o sistemas asimétricos.

Los sistemas simétricos son aquellos en los que el emisor y el receptor utilizan la misma clave para cifrar y descifrar
los mensajes en estos sistemas.

La seguridad reside en mantener en secreto la clave.

30
6.2 Sistemas asimétricos.

Los sistemas asimétricos utilizan dos claves, una privada y otra pública, para cifrar y descifrar la información. El emisor
cifra el mensaje con una de las claves y debe conseguir que el receptor utilice la otra para descifrarlo.

La clave pública y la privada se relacionan mediante funciones matemáticas y la seguridad debe impedir
que conociendo una de ellas se descubra la otra.

El auge de las conexiones a través de Internet y la necesidad de encriptar la información transmitida han hecho que
aparezcan varios métodos basados en estos criptogramas.

 Firma digital.

 Firma electrónica.

 Certificado digital.

 Certificado electrónico.

La firma electrónica es una firma digital que se ha almacenado en un soporte hardware (chip), mientras que la firma
digital se puede almacenar tanto en hardware como en software. Una firma electrónica es más segura que una firma
digital porque no se puede modificar. Ambas tienen la misma validez y cometido, identificar al emisor o al receptor en
una comunicación y su uso no implica que la información transmitida esté encriptada. La firma electrónica se encuentra
dentro del DNI electrónico, aunque firmar algo con el DNI electrónico no implica encriptarlo.

Un certificado electrónico es un documento electrónico que identifica a

una persona. Según la ley de firma electrónica 59/2003, un certificado
electrónico es un documento firmado electrónicamente por un prestador
de servicios de certificación que vincula unos datos de verificación de
firma (clave pública) a un firmante y confirma su identidad.

En la imagen se puede ver el aspecto de la pantalla de un navegador con

un certificado digital instalado antes de ser utilizado.

En este caso, se va a realizar una solicitud en la web de la agencia

tributaria http://www.aeat.es, para la que se requiere certificado
electrónico. Antes de usar el certificado se muestran los certificados instalados y la entidad emisora, y se tiene la
opción de escoger el adecuado.

Los certificados digitales poseen una clave pública visible y otra privada que permanece secreta y que ha sido
proporcionada por la entidad emisora del certificado al constatar que la persona (física o jurídica) es quien dice ser, la
clave privada se incluye en el certificado, pero el usuario no la puede ver.

En el siguiente enlace podrás extraer más información sobre los certificados electrónicos y digitales, así como su
relación con la firma digital.

Para saber más

Certificados electrónicos y digitales - Certificados electrónicos y digitales. Firma electrónica

31
6.3 Listas de control de acceso.

Si las firmas y certificados sirven para verificar la identidad del usuario, existen otros métodos que impiden el acceso
como son las listas de control de acceso, también denominadas ACL. Son registros de usuarios a los que se les ha dado
acceso o no a un recurso determinado del sistema, incluyendo privilegios o no para ellos.

En un router se puede crear una ACL para controlar el tráfico que viaja a través de las interfaces del mismo. Estas listas
especifican que tipo de paquetes se deben aceptar o no. En ocasiones el criterio es la dirección IP, seleccionando los
paquetes con direcciones contenidas en un determinado rango, impidiendo o permitiendo su tránsito a través del
enrutador.

Otras ACL trabajan sobre los permisos de los usuarios sobre archivos o procesos.

La imagen representa una captura de pantalla de una ACL sobre un sistema linux donde se especifican permisos de
lectura, escritura o ejecución para los usuarios del sistema.

En el caso de los sistemas linux, la posibilidad de utilizar ACL no se ofrece por defecto y hay que instalar un paquete
adicional para poder crear listas. Lo que se incluye en la instalación es la posibilidad de variar los permisos de los
archivos para los usuarios propietarios, grupo al que pertenece el usuario propietario del fichero y para otros usuarios
del sistema, utilizando el comando chmod o la interfaz gráfica. Esto obviamente se queda un poco corto para
administrar sistemas grandes.

32
6.4 Establecimiento de políticas de contraseñas.

La contraseña es el método más usado para controlar el acceso a un proceso, fichero, dato o recurso en general. Se
deben tener en cuenta dos consideraciones para controlar la seguridad mediante contraseñas:

 El secreto de la contraseña.

 La complejidad de la contraseña.

El secreto de la contraseña depende del usuario, es prácticamente imposible que un sistema de seguridad impida que
una persona revele una contraseña a otra. En cuanto a la complejidad de una contraseña, realmente habría que
referirse a la fortaleza de esa contraseña frente a la posibilidad de ser descubierta. Una contraseña será más fuerte
cuanto más difícil sea poder descubrirla.

Una buena forma de demostrar la necesidad de utilizar contraseñas fuertes es demostrar lo fácil que es descubrir una
contraseña débil con las herramientas que existen en la actualidad, en muchos casos gratuitas.

Existen múltiples sitios web donde poder medir la fortaleza de las contraseñas utilizadas. En el siguiente enlace podrás
comprobarlo.

Para saber más

En el siguiente enlace se puede hacer un análisis de la fortaleza de las contraseñas usadas. La aplicación
analiza el tipo de caracteres utilizados y muestra en porcentaje la seguridad de la misma. Un 100% indica
la máxima seguridad

Contraseñas

Es difícil de asegurar como debe ser una contraseña segura porque siempre hay un porcentaje que depende de la
probabilidad, es decir, siempre existe la posibilidad de que alguien la acierte por casualidad, por muy remota que sea.
Aun considerando el margen reservado a la fortuna, se puede decir que hoy en día una contraseña es más segura si
tiene el siguiente formato:
 Al menos está compuesta por 8 caracteres.

 Tiene números y letras mezclados.

 Utiliza mayúsculas y minúsculas.

 Los números se incluyen en medio de la contraseña.

 No debe ser una fecha, nombre propio o cualquier palabra conocida.

 No debe tener relación con el usuario.

 Debe ser fácil de recordar.

33
El método más utilizado para descubrir contraseñas es el denominado de fuerza bruta, para emplear este método se
han diseñado múltiples aplicaciones de software que prueban todo tipo de combinaciones. La estructura de una
contraseña puede hacer que un ataque de este tipo pueda tener éxito en segundos o por el contrario durar cientos de
años.

En la imagen se puede ver una tabla comparativa del tiempo que se tardaría en descubrir una contraseña si estuviera
formada solamente por minúsculas o por el contrario se utilizasen todos los caracteres.

Se puede deducir que, una contraseña con 8 caracteres (mayúsculas, minúsculas, números) se tardaría en descubrir
cientos de años, mientras que, si solamente se utilizan minúsculas, se conseguiría en días.

34
6.5 Utilización de sistemas biométricos de identificación.

Los sistemas biométricos identifican a las personas por sus características biológicas. De manera más formal se puede
decir que son sistemas que tienen la capacidad para medir, codificar, comparar, almacenar, transmitir y/o reconocer
alguna característica propia de una persona, con un determinado grado de precisión y confiabilidad.

La biometría identifica a una persona digitalmente y compara esas medidas con otras de la misma persona que están
almacenadas en una base de datos. Los datos físicos de las personas más utilizados en biometría son:

 Iris del ojo.

 Voz.

 Huella dactilar.

 Fisonomía de la cara.

 Forma de la mano.

 Maneras de andar.

 Tensión sanguínea.

 Temperatura corporal.

Todo sistema biométrico tiene dos procesos bien diferenciados:

 Identificación.

 Verificación.

En el proceso de identificación se extraen los datos significativos de la persona y se genera el template para
almacenarlo en la base de datos del sistema biométrico. En el proceso de verificación se comparan los datos de la
persona con los almacenados en la base de datos, si la comparación resulta positiva, la persona podrá entrar al sistema.

En la imagen se pueden ver de manera esquematizada los dos procesos que se llevan a cabo en un sistema biométrico.

En este caso se representa un sistema de reconocimiento de la huella dactilar.

Para obtener los datos en un sistema como el dactilar se toman lecturas de los puntos representativos de la huella
(disposición única en cada individuo), estos puntos se representan como un archivo digital que es el que formará el
template con el que se identificará al usuario cundo inicie el proceso de verificación.

35
Los sistemas biométricos son muy variados y están evolucionando constantemente. El avance de electrónica y de la
informática ha hecho posible que un sistema biométrico incluya el reconocimiento de más de una característica de la
persona con lo que le hace ser mucho más fiable.

Un sistema basado en el reconocimiento del iris genera un patrón de identificación para cada individuo que tiene el
aspecto de la figura:

En la imagen se puede ver qué puntos se toman en un análisis del iris (círculos blancos) y en la parte superior izquierda
su representación (iriscode). El iriscode de cada individuo es único por lo que se puede utilizar como identificador.

Pero ninguno de los sistemas biométricos es totalmente seguro porque todos tienen la posibilidad de ser falseados.

Por ejemplo, un sistema de reconocimiento basado en el iris del ojo podría burlarse con la fabricación de lentillas que
reprodujeran el iris del sujeto que se desea suplantar, esto ha hecho que sigan las investigaciones y ya se trabaja con
sistemas que, en lugar de reconocer el iris, escanean la córnea.

36
6.6 Políticas de almacenamiento.

El almacenamiento de la información debe estar centralizado y al tiempo tener una estructura organizativa clara para
poder gestionarlo de la manera más adecuada. Las políticas de seguridad lógica implementadas en los medios de
almacenamiento van dirigidas a obtener:

 Mayor tolerancia a fallos.

 Mayor seguridad.

La técnica más utilizada es RAID. Con esta técnica se consigue que el sistema sea más tolerante a fallos puesto que en
caso de producirse un error en alguno de los discos, al estar la información fragmentada y replicada en otros, se podrá
recuperar más fácilmente.

Puesto que la información está repetida, aumentaremos la disponibilidad y tendremos más garantía de integridad en
los datos, con esto se consigue que haya una mayor seguridad en el sistema.

Para saber más

En el siguiente enlace podrás aprender más cosas sobre los distintos niveles de RAID.

RAID

37
6.7 Copias de seguridad e imágenes de respaldo.
Las copias de seguridad permitirán restaurar la información en caso de pérdidas ocasionadas por fallos de distinta
naturaleza que dañan nuestro sistema (incendios, variaciones de la tensión eléctrica, robos). Tanto las grandes
organizaciones como los usuarios domésticos deberían hacer copias de seguridad de manera periódica. Las copias de
seguridad garantizan la integridad y la disponibilidad de la información.

Los soportes utilizados para realizar copias de seguridad pueden ser varios:

 Cintas magnéticas.

 DVD y CD.

 Lápices de memoria.

 Discos duros portátiles.

 Servidores externos.

Las copias de seguridad se pueden clasificar en:

 Completas.

 Diferenciales.

 Incrementales.

La diferencia entre ellas es si se copian todos los archivos (completas), solamente los archivos creados o modificados
desde la última copia completa (diferenciales) o los archivos que se han modificado desde la última copia completa o
diferencial (incrementales).

En la imagen se puede ver un ejemplo donde se aprecia la diferencia entre una copia diferencial y otra incremental.

Las copias de seguridad deben hacerse sobre los archivos más importantes del sistema y si se debe elegir, se escogerán
aquellos que son más difíciles de reemplazar (archivos de sistema o de configuración).

Hoy en día casi todos los sistemas operativos ofrecen funcionalidades para hacer copias de seguridad, pero se sigue
cometiendo el error de almacenar la copia de seguridad en el mismo sitio de donde se saca, es decir, se hacen copias
de seguridad de archivos y se guardan el mismo disco duro donde se trabaja. Las copias de seguridad deben
almacenarse en dispositivos externos que además se puedan destruir una vez clasificadas como inservibles.

38
6.8 Recuperación de datos.

La recuperación de datos después de un fallo o incidente en el sistema puede ser una labor fácil o por el contrario
necesitar de técnicas muy especializadas según sea el daño sufrido por el sistema. Existen multitud de empresas que
se dedican a la recuperación de datos y aun así no todos los datos se pueden recuperar. En la mayoría de los casos los
datos se pierden por fallos en el hardware, en el sistema o por un error humano, y en menor medida por desastres
como incendios o inundaciones.

En la imagen se puede ver el tipo de salas (salas limpias) utilizadas para la recuperación de discos duros.

Salas limpias son habitaciones que han sido diseñadas para reducir el nivel de partículas en el aire como polvo, aire y
cualquier organismo que pueda perjudicar a la recuperación de los datos.

La recuperación de datos es un conjunto de técnicas que, aplicadas a un dispositivo de almacenamiento dañado, tienen
como objetivo extraer toda la información posible, en muchas ocasiones implica una destrucción total del dispositivo
de almacenamiento.

Las técnicas empleadas para la recuperación de datos dependen de la causa que originó el daño, se pueden dividir en
dos grandes grupos:

 Recuperación de datos lógica.

 Recuperación física.

Para la recuperación lógica se emplea software especializado y en muchas ocasiones los sistemas operativos incluyen
aplicaciones que nos permiten recuperar nuestro sistema. Existen muchas aplicaciones diseñadas para recuperar datos
y ficheros (TestDisk, Recuva, PhotRec, Restoration, Undelete Plus).

En cuanto a las técnicas empleadas para la recuperación física, dependen de la tecnología empleada por el soporte de
almacenamiento. En los discos duros magnéticos se pueden emplear microscopios de fuerza magnética (MFM). Estos
microscopios son capaces de trabajar en las dimensiones de la nanotecnología, por lo que son capaces de analizar en
un disco duro la estructura de la superficie magnetizada y en consecuencia todas las grabaciones hechas sobre el
mismo.

En la imagen se puede ver el aspecto que tiene la superficie de un disco duro vista con un microscopio de este tipo.

Desde el punto de vista de la seguridad también es importante destruir la información para evitar la recuperación de
los datos una vez se considera el dispositivo de almacenamiento obsoleto. Existen varios métodos que incluyen la
destrucción física (triturado) pero otros no implican la destrucción del dispositivo, como el método Gutmann, en el
que se sobrescriben datos mezclados con los originales y resulta casi imposible descifrar el contenido.

Para saber más

En el siguiente enlace podrás ver en qué consiste el método Gutmann.

Gutmann

39
6.9 Realización de auditorías de seguridad.
Una auditoría de seguridad es la revisión del estado de los sistemas de seguridad en un sistema informático. Para ello
no es necesario que el sistema falle, se puede realizar para verificar que todo funciona correctamente o para detectar
posibles vulnerabilidades e intentar evitar que se produzca un incidente.

Las auditorías se deben realizar por personal cualificado y en la medida de lo posible ajeno al organismo al que
pertenece el sistema informático. Se deben seguir una serie de pasos que se especifican en estándares.

 COBIT.

 ISO 27002.

 ISO 27001.

Para saber más

En los siguientes enlaces podrás ver en qué consisten estos estándares.

COBIT

ISO27002

ISO27001

Las auditorías pueden ser completas o parciales. En las completas se deberían analizar todos los componentes del
sistema, cualificación de los usuarios, instalaciones, hardware, software y aplicaciones utilizadas. Esta opción es la
ideal, pero a su vez la más costosa y en muchas ocasiones innecesaria.

Las más recurridas son las auditorías parciales, es decir, si se sospecha que hay un problema con el hardware, se
encarga una auditoria solamente de las instalaciones. Además, existen muchas empresas que son capaces de
proporcionar los servicios de auditoría on-line para analizar software, evitando así un análisis innecesario del hardware
y ahorrando costes. Por ejemplo, existe un tipo de análisis como el denominado test de intrusión que se puede hacer
on-line. Este tipo de análisis lo ofrecen las empresas de seguridad y consiste en atacar a nuestro sistema y ver todos
los puntos débiles que encuentran.

En la imagen se puede ver el resultado de un escaneo de los puertos más utilizados. Muestra el número de puerto, el
protocolo utilizado y un comentario.

Este tipo de aplicaciones suelen ser gratuitas y tienen la posibilidad de poder hacerse on-line.

40
7 Análisis forense en sistemas informáticos.

Caso práctico
María recibe de madrugada la llamada de su jefe, está muy alarmado.

—¡María esto es un desastre!

—¿Pero qué hora es? ¿Qué ha pasado?
—¡La una de la mañana! ¡Es una emergencia!
—Se me ha caído el portátil al suelo y está destrozado. Tenía todos los pedidos guardados en él.
—¿No tenías copia?
—No, la iba a hacer mañana pero...
—No toques nada, déjalo tal y como ha quedado.
—¡Es que salen piezas por todas partes!
—No te preocupes, mañana lo miro, si el disco duro está bien podremos hacer algo.
—Si hace falta, lo mandamos a una de esas empresas que se dedican a recuperar datos.
—Tranquilo, que por esta vez creo que no hará falta, como mucho tendrás que comprarte otro portátil.

Es normal la alarma del jefe de María, porque si se perdiera la información que tenía almacenada en el disco duro,
podría suponer una pérdida económica importante. María ya le había explicado a su jefe la importancia de hacer
copias de seguridad, menos mal que parece que va a haber solución. Si el disco duro no se ha dañado se podrá leer
con otro equipo. En caso de que el incidente hubiera sido más grave habría que haber tomado otras medidas,
veamos que se podría hacer en el caso de daños más graves, pare ello se utiliza el análisis forense informático.

El análisis forense es un proceso científico que elabora y verifica hipótesis, mediante el cual:

 Se identifican las fuentes de las evidencias.

 Se preservan las evidencias.

 Se analizan las evidencias.

 Se presentan las conclusiones y las evidencias que las sustentan.

El análisis forense de sistemas pretende averiguar lo ocurrido y busca la respuesta a preguntas tales como:

 ¿Quién?

 ¿Qué activos se vieron afectados?

 ¿Cuándo?

 ¿Dónde?

 ¿Por qué?

41
En España existen organizaciones como ESCERT que realizan análisis forenses para organismos privados y públicos.
Estos servicios se prestan a aquellas organizaciones que han sufrido ataques informáticos y también se emplean para
colaborar en la resolución de investigaciones donde existan datos digitales involucrados. Puedes acceder a la web de
ESCERT en el siguiente enlace:

ESCERT

Este tipo de análisis en sistemas informáticos toma, cada día que pasa, más relevancia, puesto que muchos conflictos
son resueltos gracias a la información tratada por sistemas informáticos. Es común ver intervenidos los ordenadores
de delincuentes cuando se produce su detención, sean del tipo que sean.

El análisis forense informático siempre está presente en:

 Delitos donde se actúa directamente contra los equipos informáticos.

 Delitos donde los equipos informáticos contienen las evidencias.

 Delitos donde los equipos informáticos son utilizados para cometer el crimen.

En todos los países las fuerzas de seguridad poseen unidades dedicadas al análisis forense informático, tanto para
delitos informáticos, como para delitos donde se ha utilizado el equipo informático para cometerlos. En España:

 Brigada de Investigación Tecnológica del Cuerpo Nacional de Policía.

 Grupo de Delitos Telemáticos de la Guardia Civil.

42
7.1 Objetivo del análisis forense.

Los objetivos principales de todo análisis forense son:

 Recrear lo que ha ocurrido en un dispositivo digital durante el incidente de seguridad.

 Analizar las incidencias para impedir que se repitan en el futuro.

La imagen muestra la cinta que suelen poner los forenses o las fuerzas de seguridad
cuando están investigando un crimen. Durante el tiempo que está instalada esta cinta,
nadie puede invadir el lugar donde se ha producido dicho crimen porque están intentando
extraer toda la información posible sin contaminar, para poder recrear el suceso con la
mayor fiabilidad posible, este es el principal objetivo del análisis forense criminal que
coincide con el objetivo del análisis forense informático.

Los objetivos se deben conseguir sin dañar la información que se investiga, en la medida
de lo posible. Si la investigación obliga a duplicar la información, se debe asegurar una
destrucción de la información duplicada al final del proceso.

Los objetivos se han cumplido cuando:

 Se sabe cómo se produjo el incidente de seguridad.

 Se conocen las circunstancias bajo las que ocurrió.

 Se conoce la identidad de los atacantes.

 Se sabe cuando ocurrió el incidente.

 Se conocen los objetivos de los atacantes.

 Se tienen las evidencias que lo demuestran.

 Se ha destruido totalmente cualquier información duplicada para realizar la investigación.

La metodología empleada para alcanzar estos objetivos de estar compuesta al menos de los siguientes pasos:

 Analizar el funcionamiento del sistema para extraer toda la información posible sobre el mismo.

 Respetar rigurosamente el marco legal establecido.

 Recopilar todas las evidencias posibles.

 Autenticar las evidencias recogidas.

 Proteger las evidencias para que no se alteren, si es posible, realizar copias para poder trabajar con
ellas y así preservar las originales.

 Analizar las evidencias.

 Presentar el informe final lo más detallado posible.

 Destruir la información duplicada si es necesario.

43
7.2 Recogida y análisis de evidencias.

Las evidencias digitales respecto a las evidencias físicas tienen tres ventajas muy importantes:

 Pueden ser duplicadas con total exactitud.

 Existen herramientas para verificar si la evidencia ha sido modificada.

 Se pueden recuperar, en la mayoría de los casos, después de un borrado.

La recogida de evidencias debe seguir un orden de acuerdo al grado de volatilidad.

Los datos volátiles son aquellos que se pierden cuando se pierde la alimentación eléctrica del sistema (memoria RAM,
procesos en ejecución, usuarios conectados). La evidencia volátil es la primera que debe ser recogida.
Una secuencia posible de recogida de información volátil sería:

 Registros caché.

 Tabla de enrutamiento.

 Caché ARP.

 Archivos temporales del sistema.

La captura de la evidencia no debe alterar la prueba ni el entorno, al proceso de recogida y análisis de evidencia se le
denomina:

 Cadena de custodia.

En la cadena de custodia, se debe dejar muy claro:

 ¿Dónde, cuándo y por quién ha sido descubierta y recogida la evidencia?

 ¿Dónde, cuándo y por quién ha sido examinada y verificada la evidencia?

 ¿Quién custodia o ha estado custodiando la evidencia?

 ¿Cuándo y cómo ha cambiado de custodia?

44
Lo que se busca son evidencias digitales, que se pueden clasificar en:

 Físicas.

 Soportes de almacenamiento (HD, CD, DVD).

 Dispositivos electrónicos (teléfonos, PDA, portátiles).

 Dispositivos de comunicaciones (routers, conmutadores, concentradores).

 Lógicas.

 Registros generados por el sistema (archivos log).

 Registros almacenados en el sistema (texto, imágenes, vídeos).

 Registros de servidor (generados por servidores como Apache).

La recogida de evidencias debe hacerse en la medida de lo posible sin utilizar programas del propio sistema, por
ejemplo, ejecutando algún software desde una unidad de CD o memoria flash.

Entre las acciones que se pueden emplear para esta recogida están las siguientes:

 Obtener la fecha y la hora del sistema.

 Realizar una instantánea del estado actual del sistema.

 Utilizar comandos de consola.

 Ver los puertos TCP y UDP abiertos y las aplicaciones que los están utilizando.

 Listar los usuarios conectados.

 Enumerar los procesos activos.

 Ver la configuración de direcciones IP.

 Ver la tabla de correspondencias de las direcciones MAC.

 Buscar ficheros ocultos o borrados.

 Ver registros log del sistema.

 Analizar el tráfico de red.

 Hacer copias bit a bit de los discos duros.

45
7.3 Herramientas del análisis I.

El tipo de herramientas utilizado deberá estar en soporte de solo lectura (CD, DVD). En dicho soporte se deberán tener
programas específicos para realizar cada una de las tareas que conlleva la recolección de evidencias.

 Programas para examinar procesos.

 Programas para examinar el estado del sistema.

 Programas para realizar copias bit a bit.

Las herramientas que se pueden utilizar son variadas y dependen del incidente, tipo de sistema y muchos otros
factores. Se pueden nombrar algunas a modo de ejemplo, entre las herramientas utilizadas que necesitan de un
sistema operativo para ejecutarse están:

 The Forensic ToolKit (Windows).

 The Sleuth Kit Y Autopsy (Unix-Linux).

The Forensic ToolKit, para su ejecución necesita un sistema Windows, es una colección de herramientas forenses para
plataformas Windows, creadas por el equipo de Foundstone.

En la imagen se puede ver el sitio desde donde se puede descargar:

The Forensic ToolKit

Esta herramienta recopila información sobre el ataque utilizando comandos y genera informes y estadísticas del
sistema de archivos a estudiar. Un ejemplo de los comandos utilizados, son los que se muestran en la siguiente tabla.

Comandos de Forensic

COMANDO FUNCIÓN

afind Busca archivos por tiempo de acceso.

hfind Busca archivos ocultos.

Busca datos ocultos en el disco duro distintos de los ficheros ocultos. Estos datos pueden usarse para ocultar datos
sfind
o software dañino.

filestat Muestra atributos de archivos.

hunt Obtiene información sobre un sistema de usuarios, recursos compartidos y servicios.

46
The Sleuth Kit and Autopsy es un conjunto, cuyo autor es Brian Carrier, consiste en una colección de herramientas
forenses para entornos UNIX/Linux, que incluye algunas partes del conocido The Coroners ToolKit (TCT) de Dan Farmer.

Sleuth Kit and Autopsy

Entre sus características incluye funciones como registro de casos separados e investigaciones múltiples, acceso a
estructuras de archivos y directorios de bajo nivel y eliminados, genera la línea temporal de actividad de los archivos
(timestamp), permite buscar datos dentro de las imágenes por palabras clave, permite crear notas del investigador e
incluso genera informes.

7.3.1 Herramientas del análisis II.

Este ToolKit puede funcionar conjuntamente con la interfaz gráfica Autopsy Forensic Browser que permite obtener
informes mucho más fáciles de comprender. Un ejemplo de las funcionalidades que tiene se puede ver en la siguiente
tabla.

FUNCIONALIDADES DE THE SLEUTH KIT AND AUTOPSY

COMANDO FUNCIÓN

Análisis de archivos Muestra archivos y directorios incluyendo los ocultos.

Búsqueda por palabra

Permite buscar por palabras clave.
clave

Tipo de archivo Permite la búsqueda y ordenación de archivos por tipo.

Muestra en detalle la imagen a examinar permitiendo saber dónde se encuentran físicamente los
Detalles de la imagen
datos dentro de ella.

Permite ver elementos que no se ven habitualmente como referencias a directorios o archivos
Metadatos
eliminados.

Unidad de datos Examina cualquier archivo al máximo detalle, ya sea ASCII o hexadecimal.

Para el análisis forense lo conveniente es usar una herramienta que se pueda utilizar desde fuera del sistema, por
ejemplo, en formato CD. Existen muchas herramientas de este tipo, entre las más utilizadas se tienen las siguientes:

 HELIX CD.

 FIRE LINUX.

47
HELIX CD se trata de una distribución de Linux en formato live basada en Knoppix (Debian), posee la mayoría de las
herramientas necesarias para realizar un análisis forense.

HELIX

Este sistema permitirá escoger el tipo de sistema antes de ejecutarse (Linux o Windows). La cualidad más importante
de esta herramienta es que se monta de manera que no modifica nada del sistema objeto del análisis y permite
recuperar las evidencias volátiles.

En la imagen se puede ver la apariencia del interfaz gráfico de Helix.

FIRE LINUX es otra distribución Linux con un interfaz gráfico que facilita mucho su manejo. Este live CD está creado y
mantenido por William Salusky y puede descargarse gratuitamente.

FIRE Linux

Las funcionalidades son muy parecidas a las de HELIX CD, y las herramientas que posee F.I.R.E son conocidas:

 Nessus, nmap, whisker, hping2, hunt, fragrouter.

 Ethereal, Snort, tcpd.

 Chkrootkit.

 TCT, Autopsy.

 Testdisk, fdisk, gpart.

 SSH (cliente y servidor), VNC (cliente y servidor).

48