CFGM Seguridad Informtica

Unidad 1
Conceptos sobre seguridad informtica

1. Seguridad Informtica Por qu?

El espectacular auge de Internet y de los servicios telemticos ha hecho que los ordenadores y las redes
se conviertan en un elemento cotidiano en nuestras casas y en un instrumento imprescindible en las
tareas de las empresas.

Nuestra vida es digital

1. Seguridad Informtica Por qu?

La seguridad completa es imposible

1. Seguridad Informtica Por qu?

1. Seguridad Informtica Por qu?

01 Conceptos sobre seguridad informtica

1. Por qu proteger?
A pesar de toda nuestra preocupacin y todas las medidas que tomemos, la seguridad completa es imposible.
Debemos asumir que hemos desplegado la mxima seguridad posible con el presupuesto asignado y la formacin
actual de nuestros tcnicos y usuarios. Por otra parte, podemos estar seguros de que en nuestra casa o en nuestra
empresa estamos aplicando todas las medidas; pero no sabemos qu hacen las otras personas con las que nos
comunicamos. En el mbito personal, posiblemente enviamos imgenes a alguien que no sabe que tiene un
troyano en su ordenador.
En el fondo, todo es informacin: sean los 140 caracteres de un tweet, sean ficheros de varios megabytes, estn
en nuestro equipo y alguien puede intentar obtenerlos. La clave es la motivacin: quin est interesado en
nuestra informacin. Es poco probable que algn superhacker intente entrar en nuestro ordenador porttil,
seguramente no le costara mucho, pero el esfuerzo no le merece la pena. Las empresas s son mucho ms
atractivas para estas actividades delictivas, por lo que existen las auditoras de seguridad y los tiger teams:
contratamos a una empresa externa especializada en seguridad informtica para que revise nuestros equipos y
nuestros procedimientos.

01 Conceptos sobre seguridad informtica

2. Qu proteger?
Debido al presupuesto, no podemos aplicar todas las medidas de seguridad posibles a todos los equipos de la
empresa. Debemos identificar los activos que hay que proteger: qu equipos son ms importantes y qu medidas
aplicamos en cada uno, teniendo en cuenta que el mayor activo es la informacin contenida en los equipos.

2.1. Equipos

Es fundamental que no se puedan sustraer, ni el equipo ni sus piezas, principalmente el disco duro, pero
tambin el dispositivo donde se hace la copia de seguridad de ese disco.
En el caso de los porttiles no podemos evitar que salgan de la empresa. Pero s debemos vigilar que esos
ordenadores apliquen cifrado en el disco duro y tengan contraseas actualizadas.
Es importante que no se puedan introducir nuevos equipos no autorizados.
Aplicaremos mantenimiento preventivo para evitar averas.

2.2. Aplicaciones

Los ordenadores de una empresa deben tener las aplicaciones estrictamente necesarias para llevar a cabo el
trabajo asignado, debemos evitar instalar software extra (ya sea intencionadamente o no) porque puede tener
vulnerabilidades. Cuando una empresa adquiere un nuevo equipo, el personal de sistemas procede a maquetarlo:
instala las aplicaciones utilizadas en esa empresa, con la configuracin particular de esa empresa. Incluso puede
llegar a sustituir el sistema operativo que traa el equipo.
Los objetivos son ahorrar al usuario la tarea de instalar y configurar las aplicaciones, asegurar que el software
instalado responde a las licencias compradas en la empresa y homogeneizar el equipamiento, de manera que solo
tendremos que enfrentarnos a los problemas en una lista reducida de configuraciones de hardware.
Tanto si es intencionada como si no, el antivirus ser una barrera a la instalacin de aplicaciones no autorizadas, y
la ausencia de privilegios de administracin tambin ayudar. Pero conviene aplicar otras medidas para no
ponerlos a prueba, como desactivar el mecanismo de autoarranque de aplicaciones desde CD o USB e incluso
deshabilitar esta unidades lectoras.

01 Conceptos sobre seguridad informtica

2.3. Datos
Hay que protegerlos por dos motivos: si desaparecen, la empresa no puede funcionar con normalidad, y si llegan a
manos de la competencia, la estrategia y el futuro de la compaa estn en riesgo. Las empresas modernas
responden al esquema de oficina sin papeles: estn informatizados todos los datos que entran, los generados
internamente y los que comunicamos al exterior.
La infraestructura necesaria es amplia y compleja porque los niveles de seguridad son elevados:
Todos los equipos deben estar protegidos contra software malicioso que pueda robar datos o alterarlos.
El almacenamiento debe ser redundante.
El almacenamiento debe ser cifrado. Si, por cualquier circunstancia, perdemos un dispositivo de almacenamiento,
los datos que contenga deben ser intiles para cualquiera que no pueda descifrarlos.

2.4. Comunicaciones

Los datos no suelen estar recluidos siempre en la misma mquina: salen con destino a otro usuario que los
necesita. Esa transferencia tambin hay que protegerla. Debemos utilizar canales cifrados, incluso aunque el
fichero de datos que estamos transfiriendo ya est cifrado.
Adems de proteger las comunicaciones de datos, tambin debemos controlar las conexiones a la red de la
empresa. Con la expansin del teletrabajo, las redes de las empresas necesitan estar ms abiertas al exterior,
luego estarn ms expuestas a ataques.
El peligro tambin est en la propia oficina: no puede ser que cualquier visitante entre en nuestra red con solo
conectar su porttil a una toma de la pared o a travs del wifi de la sala de espera.
Tambin se deber evitar la llegada de correo no deseado (spam) y publicidad en general.
La tendencia actual en las empresas es migrar sus sistemas a Internet mediante el cloud computing,
desplazando toda su infraestructura informtica a servidores virtuales con conexin a Internet. Sea cual sea el
grado de adopcin de cloud computing en una empresa, la primera premisa debe ser la seguridad en las
comunicaciones, porque todos los servicios estn en mquinas remotas a las que llegamos atravesando redes
de terceros.

01 Conceptos sobre seguridad informtica

3. Definiciones
3.1. Seguridad fsica/lgica, activa/pasiva
1. La seguridad fsica cubre todo lo referido a los equipos informticos: ordenadores de propsito general, servidores
especializados y equipamiento de red. La seguridad lgica se refiere a las distintas aplicaciones que ejecutan en
cada uno de estos equipos. Las amenazas contra la seguridad fsica son:
Desastres naturales. Los tendremos en cuenta para ubicar el emplazamiento del CPD donde alojamos los
principales servidores de la empresa.
Robos. Debemos proteger el acceso al CPD mediante mltiples medidas: vigilantes, tarjetas de acceso,
identificacin mediante usuario y contrasea, etc.
Fallos de suministro. Son recomendables unas bateras o un grupo electrgeno por si falla la corriente, una
segunda conexin a Internet como lnea de backup para estar protegidos ante un corte en la calle.
2. La seguridad pasiva son todos los mecanismos que, cuando sufrimos un ataque, nos permiten recuperarnos
razonablemente bien.
3. La seguridad activa intenta protegernos de los ataques mediante la adopcin de medidas que protejan los activos
de la empresa.

3.2. Confidencialidad, disponibilidad, integridad y no repudio

1. La confidencialidad intenta que la informacin solo sea utilizada por las personas o mquinas debidamente
autorizadas. Para garantizar la confidencialidad necesitamos disponer de tres tipos de mecanismos:
Autenticacin. Intenta confirmar que una persona o mquina es quien dice ser.
Autorizacin. Una vez autenticado, los distintos usuarios de la informacin tendrn distintos privilegios
sobre ella: solo lectura, o lectura y modificacin.
Cifrado. La informacin estar cifrada para que sea intil a quien no supere la autenticacin.

01 Conceptos sobre seguridad informtica

3.2. Confidencialidad, disponibilidad, integridad y no repudio
2. La disponibilidad intenta que los usuarios puedan acceder a los servicios con normalidad en el horario
establecido. Para ello se invierte en sobredimensionar los recursos.
3. El no repudio se refiere a que, ante una relacin entre dos partes, intentaremos evitar que cualquiera de ellas
pueda negar que participara en esa relacin.
4. El objetivo de la integridad es que los datos queden almacenados tal y como espera el usuario: que no sean
alterados sin su consentimiento. Como se observa en estas capturas, para comprobar la integridad en Linux se
utilizan los comandos sum y cksum (ver Caso prctico 2).

3.3. Sabes-tienes-eres
Un esquema muy utilizado para analizar la autenticacin es clasificar las medidas adoptadas segn tres criterios:
Algo que sabes. Para acceder al sistema necesitas conocer alguna palabra secreta: la tpica contrasea.
Algo que tienes. En este caso es imprescindible aportar algn elemento material: generalmente una tarjeta.
Algo que eres. El sistema solicita reconocer alguna caracterstica fsica del individuo (biometra): huella dactilar,
escner de retina, reconocimiento de voz, etc.
La autenticacin ser ms fiable cuantos ms criterios distintos cumpla.
10

01 Conceptos sobre seguridad informtica

3.4. AAA
La sigla AAA se refiere a autenticacin, autorizacin y accounting. Las dos primeras ya las hemos
visto con anterioridad; la tercera se refiere a la informacin interna que los sistemas generan acerca
de s mismos, el uso que se hace de sus servicios. Esta informacin sirve para revisar el
dimensionado de los equipos y permite establecer limitaciones y penalizaciones.
La informacin del accounting tambin permite comprobar la eficacia de las medidas de
autenticacin y autorizacin, sobre todo en un anlisis forense tras un ataque. Siguiendo el rastro
podremos localizar por dnde ha entrado e intentar resolverlo.
Es importante que el registro del accounting se haga en una mquina distinta: si el hacker ha
conseguido entrar, puede fcilmente borrar sus huellas. Sin embargo, si el registro se hace
simultneamente en otra mquina, ya son dos las mquinas que debe atacar (y generalmente la
mquina de registro se carga con el mnimo software posible, para reducir las opciones de entrada).

3.5. e2e
e2e significa extremo a extremo: la seguridad debe controlarse en el origen de los datos, en el
destino de los datos y en el canal de comunicacin utilizado entre origen y destino:
En el origen y en el destino intentaremos que el equipo y las aplicaciones no hayan sido
modificados. Si alguno no est bajo nuestro control, debemos desconfiar.
En el canal intentaremos limitar quin accede y, sobre todo, cifraremos, porque nuestros datos
atravesarn las redes de otras compaas.
11

01 Conceptos sobre seguridad informtica

3.6. Vulnerabilidad, malware, exploit
Una vulnerabilidad es un defecto de una aplicacin que puede ser aprovechado por un atacante. Si lo descubre, el
atacante programar un software (llamado malware) que utiliza esa vulnerabilidad para tomar el control de la
mquina (exploit) o realizar cualquier operacin no autorizada.
Los fabricantes de software intentan reaccionar rpidamente ante cualquier informe que demuestre una vulnerabilidad
en sus programas. Gracias a Internet, de manera programada, los programas conectan con la web de su
suministrador para comprobar si hay algn parche pendiente de aplicar (actualizaciones automticas).
Hay muchos tipos de malware, pero fundamentalmente se clasifican en virus, gusanos y troyanos. Realmente no
es tan importante qu malware nos ha entrado: hay que eliminarlo de todas formas porque es una aplicacin que no
hemos querido instalar y que no nos traer nada bueno (incluso puede mutar: un gusano convertirse en troyano, etc.).
Todos tienen en comn su afn de replicacin: intentan contaminar el mximo nmero de ordenadores posible para
continuar la infeccin.
Tambin hay que tener cuidado con los falsos antivirus. En algunas pginas
web peligrosas aparece un mensaje que nos avisa de que estamos infectados
y se ofrecen amablemente para descargar un antivirus que nos limpiar el
ordenador. Si descargamos e instalamos ese programa, lo que realmente
ocurre es que hemos dejado entrar un malware que, desde ese instante,
puede hacer cualquier cosa.

12

Lo mismo puede ocurrir con programas que nos aseguran que acelerarn el
rendimiento del ordenador, o el disco duro, o la conexin a Internet. Estos
programas existen, pero debemos descargarlos desde fuentes de toda
confianza, como las webs de los autores de ese software o un sitio con buena
reputacin. Para evitar que ocurra, lo mejor es tener siempre activado el
antivirus (y tenerlo actualizado, claro). Y, si por cualquier razn, el ordenador
ya est secuestrado, algunos antivirus tienen la opcin de ejecutarse desde un
LiveCD.

01 Conceptos sobre seguridad informtica

4. Tipos de ataques
Una vez que alguien est decidido a atacarnos, puede elegir alguna de estas formas:
Interrupcin. El ataque consigue provocar un corte en la prestacin de un servicio.
Interceptacin. El atacante ha logrado acceder a nuestras comunicaciones y ha copiado la informacin.
Modificacin. Ha conseguido acceder, pero, en lugar de copiar la informacin, la est modificando.
Fabricacin. El atacante se hace pasar por el destino de la transmisin, por lo que puede tranquilamente conocer el
objeto de nuestra comunicacin y engaarnos para obtener informacin valiosa.
Para conseguir su objetivo puede aplicar una o varias de estas tcnicas:
Ingeniera social. A la hora de poner una contrasea, los usuarios suelen recurrir a palabras conocidas para ellos: el
mes de su cumpleaos, el nombre de su calle, su mascota, etc. Si conocemos bien a esa persona, podemos intentar
adivinar su contrasea. Otro ejemplo sera pedir a un compaero de trabajo que introduzca su usuario y contrasea,
que el nuestro parece que no funciona. En esa sesin podemos aprovechar para introducir un troyano, por ejemplo.

13

Phishing. El atacante se pone en contacto con la

vctima (generalmente, un correo electrnico)
hacindose pasar por una empresa con la que tenga
alguna relacin (su banco, su empresa de telefona,
etc.). En el contenido del mensaje intenta
convencerle para que pulse un enlace que le llevar a
una (falsa) web de la empresa. En esa web le
solicitarn su identificacin habitual y desde ese
momento el atacante podr utilizarla.

Keyloggers. Un troyano en nuestra mquina puede

tomar nota de todas las teclas que pulsamos,
buscando el momento en que introducimos un
usuario y contrasea.

Ejemplo de phishing via Twitter

01 Conceptos sobre seguridad informtica

14

01 Conceptos sobre seguridad informtica

4. Tipos de ataques

15

Fuerza bruta. Las contraseas son un nmero

limitado de caracteres (letras, nmeros y signos de
puntuacin). Una aplicacin malware puede ir
generando todas las combinaciones posibles y
probarlas una a una; tarde o temprano, acertar.
Contra los ataques de fuerza bruta se recomienda
utilizar contraseas no triviales, cambiar la
contrasea con frecuencia, impedir rfagas de
intentos repetidos y establecer un mximo de fallos
tras el cual se bloquear el acceso.

Spoofing. Alteramos algn elemento hacernos

pasar por otra mquina. Por ejemplo, generamos
mensajes con la misma direccin que la mquina
autntica.

Sniffing. El atacante consigue conectarse en el

mismo tramo de red que el equipo atacado. De
esta manera tiene acceso directo a todas sus
conversaciones.

DoS (Denial of Service, denegacin de servicio). Consiste en tumbar un servidor saturndolo con falsas
peticiones de conexin.

DDoS (Distributed Denial of Service, denegacin de servicio distribuida). Es el mismo ataque DoS, pero
ahora no es una nica mquina la que genera las peticiones falsas sino muchas mquinas repartidas por distintos
puntos del planeta. Esto es posible porque todas esas mquinas han sido infectadas por un troyano que las ha
convertido en ordenadores zombis.

01 Conceptos sobre seguridad informtica

4.1. Tipos de atacantes
Hacker. Ataca la defensa informtica de un sistema solo por el reto que supone hacerlo. Si tiene
xito, moralmente debera avisar a los administradores sobre los agujeros de seguridad que ha
utilizado, porque estn disponibles para cualquiera.
Cracker. Tambin ataca la defensa, pero esta vez s quiere hacer dao: robar datos, desactivar
servicios, alterar informacin, etc.
Script kiddie. Son aprendices de hacker y cracker que encuentran en Internet cualquier ataque
y lo lanzan sin conocer muy bien qu estn haciendo ni las consecuencias derivadas de su
actuacin.
Programadores de malware. Expertos en programacin capaces de aprovechar las
vulnerabilidades de alguna versin concreta de un software conocido para generar un programa
que les permita atacar.
Sniffers. Expertos en protocolos de comunicaciones capaces de procesar una captura de trfico
de red para localizar la informacin interesante.
Ciberterrorista. Cracker con intereses polticos y econmicos a gran escala.

16

01 Conceptos sobre seguridad informtica

5. Buenas prcticas
Localizar los activos que hay que proteger: equipos, aplicaciones, datos y comunicaciones.
Revisar la poltica de copias de seguridad.
Redactar y revisar regularmente los planes de actuacin ante catstrofes, contemplando todas
las posibilidades: ataque intencionado, desastre natural, arranque parcial de servicios.
No instalar nada que no sea estrictamente necesario, y revisar la configuracin de los
sistemas y aplicaciones por si estamos otorgando ms permisos de los imprescindibles.
Estar al da de todos los informes de seguridad que aparezcan. Para ello hay que registrarse en
listas de correo sobre seguridad y en las listas de nuestros proveedores.
Activar los mecanismos de actualizacin automtica de las aplicaciones que tenemos
instaladas. Salvo sistemas delicados (tenemos que probar muy bien cada actualizacin antes de
aplicarla), en general los fabricantes liberan actualizaciones que no dan problemas.
Dar formacin a los usuarios para que utilicen la seguridad y la vean como una ayuda, no como
un estorbo.
Revisar los log del sistema (el accounting que hemos visto antes). Algunas herramientas nos
ayudan porque recogen los ficheros de log y aplican fcilmente muchos patrones conocidos.
Considerar la opcin de contratar una auditora externa, porque si hemos cometido un error de
concepto, es muy difcil que lo encontremos por nosotros mismos.
Revisar la lista de equipos conectados: pueden haber introducido equipos no autorizados.
Revisar la lista de usuarios activos: puede que algn empleado ya no est en la empresa pero
su usuario y todos los privilegios asociados siguen disponibles para l o para alguien de su
confianza.
En aquellos sistemas que lo permitan, configurar el aviso por SMS o correo electrnico para
que nos enteremos los primeros de cualquier problema.
17

01 Conceptos sobre seguridad informtica

6.1. LOPD
La Ley Orgnica de Proteccin de Datos de Carcter Personal (LO 15/1999, de 13 de diciembre) establece las bases para
proteger el tratamiento de los datos de carcter personal de las personas fsicas. El Real Decreto 1720/2007, de 21 de
diciembre, desarrolla la LOPD para ficheros (automatizados y no automatizados). Define tres tipos de medidas:
Nivel bsico. Cualquier fichero de datos de carcter personal. Las medidas de seguridad con estos datos son:
Identificar y autenticar a los usuarios que pueden trabajar con esos datos.
Llevar un registro de incidencias acontecidas en el fichero.
Realizar copia de seguridad como mnimo semanalmente.
Nivel medio. Cuando los datos incluyen informacin sobre infracciones administrativas o penales, informes financieros y de
gestin tributaria y datos sobre la personalidad del sujeto. Las medidas de seguridad incluyen las del nivel bsico ms:
Al menos una vez cada dos aos una auditora externa verificar los procedimientos de seguridad.
Debe existir control de acceso fsico a los medios de almacenamiento de los datos.
Nivel alto. Son los datos especialmente protegidos: ideologa, vida sexual, origen racial, afiliacin sindical o poltica,
historial mdico, etc. Las medidas de seguridad amplan las de nivel medio:
Cifrado de las comunicaciones.
Registro detallado de todas las operaciones sobre el fichero, incluyendo usuario, fecha y hora, tipo de operacin y
resultado de la autenticacin y autorizacin.

18

01 Conceptos sobre seguridad informtica

01 Conceptos sobre seguridad informtica

01 Conceptos sobre seguridad informtica

6.2. LSSI-CE
La Ley de Servicios de la Sociedad de la Informacin y Comercio Electrnico (LSSI-CE 34/2002, de 11 de julio)
intenta cubrir el hueco legal que haba con las empresas que prestan servicios de la sociedad de la informacin. La ley es
de obligado cumplimiento para todas las webs que consiguen algn tipo de ingreso, bien directo (pago de cuotas, venta de
productos y servicios), bien indirecto (publicidad). La primera obligacin que tienen es incluir en su pgina informacin de
la persona o empresa que est detrs de esa pgina: nombre o denominacin social, direccin postal, datos de
inscripcin en el registro de la propiedad mercantil, etc.

6.3. LPI
La Ley de Propiedad Intelectual (LPI) establece los derechos de autor en los entornos digitales. Considera la
digitalizacin de un contenido como un acto de reproduccin, luego se necesita autorizacin expresa del titular del
contenido. Como excepcin incluye la copia privada, que es para uso personal del dueo de ese contenido
legalmente adquirido. La copia, al igual que el original, no se puede utilizar de manera colectiva ni lucrativa. Para
compensar a los autores por estas copias no controladas, se establece un canon sobre los distintos dispositivos de
almacenamiento. Este canon revierte en las sociedades de autores.

01 Conceptos sobre seguridad informtica

6.4. Administracin electrnica
La Administracin electrnica hace referencia al esfuerzo de todos los estamentos pblicos para adaptar sus
procedimientos a las nuevas tecnologas. As evitan seguir manejando papeles, y los ciudadanos y empresas pueden
relacionarse con la Administracin de manera telemtica.
La realidad es que muchas webs todava se limitan a ofrecer la descarga del PDF del mismo formulario para que lo
pasemos a papel y lo entreguemos en mano o por correo certificado. En contadas excepciones se completa el
procedimiento: rellenar un formulario y enviarlo a un servidor donde nos acepten la solicitud y nos proporcionen
informacin puntual sobre el estado de su tramitacin.
El DNI electrnico (DNIe) supuso un punto de inflexin porque ahora el ciudadano s dispone de una autenticacin
fiable. Pero todava est lejos de ser ampliamente utilizado, sobre todo en el sector privado.

22