Utilizaremos ejemplos de la vida real para comprobar que la seguridad está en todas partes, no solo en los ordenadores.
3.1Seguridad física/lógica,activa/pasiva
La seguridad física cubre todo lo referido a los equipos informáticos:ordenadores de propósito general,servidores especializados y equipamiento red.
Las amenazas contra la seguridad física son:
- Desastres naturales (incendios,inundaciones.).Los tenemos en cuenta ala hora de ubicar el emplazamiento del centro de proceso de datos (cpd)
- Robos.:Nuestros equipos y sobre todo la información que contienen,resultan valiosos para otros individuos u organizacione
- Fallos de suministro:Los ordenadores utilizan corriente eléctrica para funcionar y necesitan redes externas para comunicar con otras empresas y con los clientes.
Las amenzas contra la seguridad lógica son:
virus,troyanosymalware en general con el spam en el correo eléctronico , el malware no deseado.
- Pérdida de datos:Un defecto en el código fuentede una aplicación, o una configuración defectuosa de la misma.Realizar copias de seguridad.
- Ataques a las aplicaciones de los servidores:Los hackers intentarán entrar a por los datos aprovechando cualquier vulnerabilidad del sistema operativo o de las aplicaciones.
Por otro lado, podemos hablar de seguridad activa y seguridad pasiva
La seguridad pasiva: son todas los mecanismos que, cuando sufrimos un ataque, nos permiten recuperarnos razonablemente bien
La seguridad activa: intenta protegernos de los ataques mediante la adopción de medidas que protejan los activos de la empresa.
3.2Confidencialidad,disponiblidad,integridad y no repudio
La confidencialidad intenta que la información solo sea utilizada por las personas o máquinas debidamente autorizadas.
La seguridad activa: intenta protegernos de los ataques mediante la adopción de medidas que protejan los activos de la empresa.
3.2Confidencialidad,disponiblidad,integridad y no repudio
La confidencialidad intenta que la información solo sea utilizada por las personas o máquinas debidamente autorizadas.
- Autentificacion.La autenticación intenta confirmar que una persona o máquina es quien dice ser.
- Autorización: Una vez autenticado, los distintos usuarios de la información tendrán distintos privilejios
- cifrado:La información está cifrada para que sea inútil,
veamos algunos ejemplos del mundo real:
- Para entrar a un estadio de fútbol se necesita una entrada (autenticación); pero unos irán a tribuna y otros a un palco VIP (autorización).
- Para sacar dinero de un cajero necesitas una tarjeta y el PIN de esa tarjeta (autenti-cación).Al recoger un envío certificado necesitas llevar el DNI, para que comprueben que eres tú (autenticación)
- los parques temáticos hay que llevar una entrada (autenticación) y, si pagas un
- poco más, tienes un fast-pass
- objetivo de la integridad es que los datos queden almacenados tal y como espera el
- usuario: que no sean alterados sin su consentimiento , que tiene cuatro grupos de numeros: Cuatro dígitos del código del banco.
- Cuatro dígitos del código de la sucursal del banco donde hemos abierto la cuenta.
- Dos dígitos de control.
- Diez dígitos para el código de la cuenta, dentro de todas las abiertas en esa sucursal.
- La disponibilidad intenta que los usuarios puedan acceder a los servicios con norma-
- lidad en el horario establecido. Para ello se invierte en sobredimensionar los recursos:
- Una tienda tiene dos datáfonos con dos bancos distintos. Así siempre puede ofrecer
- el cobro por tarjeta.
- Un equipo de fútbol tiene varios suplentes en el banquillo. Así siempre puede intentar
- mantener once jugadores cuando alguno se lesiona.
- Los aviones llevan piloto y copiloto.
El no repudio se refiere a que, ante una relación entre dos partes, inten
cualquiera de ellas pueda negar que participara en esa relación. Hade la vida real:
Los contratos se firman por las dos partes. Por ejemplo, la hipoteca de una ca Firmamos el impreso de matriculación en un ciclo formativo.
En algunas tarjetas de crédito hay que firmar un papel con los datos.
3.3. Sabes-tienes-eres
La autenticación es especialmente importante en temas de seguridad. Debemos estar muy
seguros de la identidad de la persona o sistema que solicita acceder a nuestra informa.
según tres criterios:
Algo que sabes. Para acceder al sistema necesitas conocer alguna palabra secr
la típica contraseña.
Algo que tienes. En este caso es imprescindible aportar algún elemento material
neralmente una tarjeta.
Algo que eres. El sistema solicita reconocer alguna característica física del indi
(biometría): huella dactilar, escáner de retina, reconocimiento de voz, etc.
3.4. AAA
La sigla AAA se refiere a autenticación, autorización y accounting. Las dos primeras ya las
hemos visto con anterioridad; la tercera se refiere a la información interna que los sistemas generan
acercade sí mismos.
Sobre todo en un análisis forense tras un ataque.
Siguiendo el rastro podremos localizar por dónde ha entrado e intentar resolverlo.
Por este motivo, es importante que el registro del accounting se haga en una máquina
distinta: si el hacker ha conseguido entrar, puede fácilmente borrar sus huellas. Sin embargo,
siel registrose hace simultáneamente en otra máquina,ya son dos las máquinas.
3.5e2e
e2e significa extremo a extremo: la seguridad debe controlarse en el origen de los datos,
en el destino de los datos y en el canal de comunicación utilizado entre origen y destino:
- En el origen y en el destino intentaremos que el equipo y las aplicaciones no hayan
- sido modificados. Si alguno no está bajo nuestro control, debemos desconfiar.
3.6. Vulnerabilidad, malware, exploit
El software está hecho por humanos, luego debemos estar Una vulnerabilidad es un defecto de una aplicación que puede ser aprovechado por un atacante. Si lo descubre, el atacante programará un software (llamado malware) que utiliza esa vulnerabilidad para tomar el control de la máquina (exploit)
Hay tres tipos de vulnerabilidades:
Vulnerabilidades reconocidas :por el suministrador de la aplicación y para las cuales ya tiene un parche que las corrige.
Vulnerabilidades reconocidas: por el suministrador, pero todavía no hay un parche. En algunos casos sí se proporciona una solución temporal (workaround).
Vulnerabilidades no reconocidas por el suministrador:Es el peor caso, porque podemos estar expuestos a un ataque durante un tiempo largo sin saberlo.
Gracias a Internet, de manera programada, los programas conectan con la web de su suministrador para comprobar si hay algún parche pendiente de aplicar (actualizaciones automáticas).
Hay muchos tipos de malware:
Virus. :Intentan dejar inservible el ordenador infectado. Pueden actuar aleatoriamente o esperar una fecha concreta (por ejemplo, Viernes 13).
Gusanos: Van acaparando todos los recursos del ordenador: disco, memoria, red. El usuario nota que el sistema va cada vez más lento, hasta que no hay forma de trabajar. t
Troyanos:Suelen habilitar puertas traseras en los equipos: desde otro ordenador podemos conectar con el troyano para ejecutar programas en el ordenador infectado.
Todos tienen en común su afán de replicación: intentan contaminar el máximo número de ordenadores posible para continuar la infección.
También hay que tener cuidado con los falsos antivirus. En algunas páginas web peligrosas (servicios de descargas ilegales, por ejemplo) aparece un mensaje que nos avisa de que estamos infectados.
En algunos casos, el virus da la cara y directamente nos dice que ha secuestrado nuestro ordenador. Efectivamente: ya no podemos hacer nada con el teclado ni el ratón. Para recuperar la máquina hay que introducir una contraseña que solo nos la proporcionan tras efectuar un pago económico.
Y, si por cualquier razón, el ordenador ya está secuestrado, algunos antivirus tienen la opción de ejecutarse desde un LiveCD .
4. Tipos de ataques
Una vez que alguien está decidido a atacarnos, puede elegir alguna de estas formas:
El software está hecho por humanos, luego debemos estar Una vulnerabilidad es un defecto de una aplicación que puede ser aprovechado por un atacante. Si lo descubre, el atacante programará un software (llamado malware) que utiliza esa vulnerabilidad para tomar el control de la máquina (exploit)
Hay tres tipos de vulnerabilidades:
Vulnerabilidades reconocidas :por el suministrador de la aplicación y para las cuales ya tiene un parche que las corrige.
Vulnerabilidades reconocidas: por el suministrador, pero todavía no hay un parche. En algunos casos sí se proporciona una solución temporal (workaround).
Vulnerabilidades no reconocidas por el suministrador:Es el peor caso, porque podemos estar expuestos a un ataque durante un tiempo largo sin saberlo.
Gracias a Internet, de manera programada, los programas conectan con la web de su suministrador para comprobar si hay algún parche pendiente de aplicar (actualizaciones automáticas).
Hay muchos tipos de malware:
Virus. :Intentan dejar inservible el ordenador infectado. Pueden actuar aleatoriamente o esperar una fecha concreta (por ejemplo, Viernes 13).
Gusanos: Van acaparando todos los recursos del ordenador: disco, memoria, red. El usuario nota que el sistema va cada vez más lento, hasta que no hay forma de trabajar. t
Troyanos:Suelen habilitar puertas traseras en los equipos: desde otro ordenador podemos conectar con el troyano para ejecutar programas en el ordenador infectado.
Todos tienen en común su afán de replicación: intentan contaminar el máximo número de ordenadores posible para continuar la infección.
También hay que tener cuidado con los falsos antivirus. En algunas páginas web peligrosas (servicios de descargas ilegales, por ejemplo) aparece un mensaje que nos avisa de que estamos infectados.
En algunos casos, el virus da la cara y directamente nos dice que ha secuestrado nuestro ordenador. Efectivamente: ya no podemos hacer nada con el teclado ni el ratón. Para recuperar la máquina hay que introducir una contraseña que solo nos la proporcionan tras efectuar un pago económico.
Y, si por cualquier razón, el ordenador ya está secuestrado, algunos antivirus tienen la opción de ejecutarse desde un LiveCD .
4. Tipos de ataques
Una vez que alguien está decidido a atacarnos, puede elegir alguna de estas formas:
- Interrupción. El ataque consigue provocar un corte en la prestación de un servicio: el servidor web no está disponible, el disco en red no aparece o solo podemos leer.
- Interceptación. El atacante ha logrado acceder a nuestras comunicaciones y ha copiado la información que estábamos transmitiendo.
- Modificación. Ha conseguido acceder, pero, en lugar de copiar la información, la está modificando para que llegue alterada hasta el destino y provoque alguna reacción.
- Fabricación. El atacante se hace pasar por el destino de la transmisión, por lo que puede tranquilamente conocer el objeto de nuestra comunicación.
Para conseguir su objetivo puede aplicar una o varias de estas técnicas:
Ingeniería social:. A la hora de poner una contraseña, los usuarios no suelen utilizar
combinaciones aleatorias de caracteres .
Phishing. El atacante se pone en contacto con la víctima (generalmente, un correo
electrónico) haciéndose pasar por una empresa con la que tenga alguna relación (su
banco, su empresa de telefonía, etc.)
Keyloggers. Un troyano en nuestra máquina puede tomar nota de todas las teclas que
pulsamos, buscando el momento en que introducimos un usuario y contraseña.
Fuerza bruta. Las contraseñas son un número limitado de caracteres (letras, números y
signos de puntuación). Una aplicación malware puede ir generando todas las combinaciones
posibles y probarlas una a una; tarde o temprano, acertará.
Nuestro software de autenticación que solicita
usuario y contraseña fácilmente puede detectar varios intentos consecutivos
en muy poco tiempo.
– Cambiar la contraseña con frecuencia (un mes, una semana). Dependiendo del
hardware utilizado, los ataques pueden tardar bastante; si antes hemos cambiado
la clave, se lo ponemos difícil.
Spoofing. Alteramos algún elemento de la máquina para hacernos pasar por otra
máquina.
Sniffing. El atacante consigue conectarse en el mismo tramo de red que el equipo
atacado.
DoS (Denial of Service, denegación de servicio). Consiste en tumbar un servidor saturándolo
con falsas peticiones de conexión.
DoS (Distributed Denial of Service, denegación de servicio distribuida). Es el mismo
ataque DoS, pero ahora no es una única máquina la que genera las peticiones falsas
(que es fácilmente localizable y permite actuar contra ella).
4.1. Tipos de atacantes
A partir de ahí podemos distinguir entre:
Hacker. Ataca la defensa informática de un sistema solo por el reto que supone hacerlo.
Si tiene éxito, moralmente debería avisar a los administradores sobre los agujeros de
seguridad que ha utilizado.
Cracker. También ataca la defensa, pero esta vez sí quiere hacer daño: robar datos,
desactivar servicios, alterar información, etc.
script kiddie. Son aprendices de hacker y cracker que encuentran en Internet cualquier
ataque y lo lanzan sin conocer muy bien qué están haciendo y, sobre todo, las
consecuencias derivadas de su actuación
Programadores de malware. Expertos en programación de sistemas operativos y aplicaciones
capaces de aprovechar las vulnerabilidades de alguna versión.
Sniffers. Expertos en protocolos de comunicaciones capaces de procesar una captura
de tráfico de red para localizar la información interesante.
Ciberterrorista. Cracker con intereses políticos y económicos a gran escala.
5. Buenas prácticas
Sus funciones son:
- Localizar los activos que hay que proteger: equipos, aplicaciones, datos y comunicaciones. Sobre todo, revisar la política de copias de seguridad: qué copiamos, cuándo copiamos, dónde lo copiamos, dónde guardamos de manera segura los dispositivos .
- Redactar y revisar regularmente los planes de actuación ante catástrofes, contemplando todas las posibilidades: ataque intencionado, desastre natural, arranque parcial.
- No instalar nada que no sea estrictamente necesario, y revisar la configuración de los sistemas y aplicaciones por si estamos otorgando más permisos de los imprescindibles.
- Estar al día de todos los informes de seguridad que aparezcan. Para ello hay que registrarse en listas de correo sobre seguridad .
- Activar los mecanismos de actualización automática de las aplicaciones que tenemos instaladas. Salvo sistemas delicados.
- Dar formación a los usuarios para que utilicen la seguridad y la vean como una ayuda, no como un estorbo.
- Revisar los log del sistema (el accounting que hemos visto antes). Algunas herramientas nos ayudan porque recogen los ficheros de log y aplican fácilmente muchos patrones conocidos.
- t Considerar la opción de contratar una auditoría externa, porque si hemos cometido un error de concepto, es muy difícil que lo encontremos por nosotros mismos.
- Revisar la lista de equipos conectados: pueden haber introducido equipos no autorizados.
6. Legislación
También el desarrollo de Internet ha impulsado
la aparición de leyes completamente nuevas, como la que regula el comercio
electrónico.
6.1. LOPD
La Ley Orgánica de Protección de Datos de Carácter Personal (LO 15/1999, de 13 de
diciembre) establece las bases para proteger el tratamiento de los datos de carácter
personal de las personas físicas.
Nivel básico. Cualquier fichero de datos de carácter personal. Las medidas de seguridad
con estos datos son:
– Identificar y autenticar a los usuarios que pueden trabajar con esos datos.
– Llevar un registro de incidencias acontecidas en el fichero.
Nivel medio. Cuando los datos incluyen información sobre infracciones administrativas
o penales, informes financieros y de gestión tributaria y datos sobre la personalidad
del sujeto.
Nivel alto. Son los datos especialmente protegidos: ideología, vida sexual, origen racial,
afiliación sindical o política, historial médico, etc. Las medidas de seguridad amplían las
de nivel medio.
6.2. LSSI-CE
restan servicios de la sociedad de la información:
- Las obligaciones de los prestadores de servicio, incluidos los que actúen como intermediarios en la transmisión de contenidos por las redes de telecomunicaciones.
- t Las comunicaciones comerciales por vía electrónica. t
- La información previa y posterior a la celebración de contratos electrónicos. t
- Las condiciones relativas a su validez y eficacia.
6.3. LPI
a Ley de Propiedad Intelectual (LPI) establece los derechos de autor en los entornos
digitales.
Como excepción incluye la copia privada, que es para uso personal del dueño de ese
contenido legalmente adquirido.
6.4. Administración electrónica
der resolver los trámites por Internet tiene múltiples ventajas:
t Disponibilidad las 24 horas del día. No hace falta pedir permiso en el trabajo; incluso
podemos hacerlo en días festivos y fines de semana.
Ahorro de tiempo. No hay que desplazarse hasta una oficina y esperar turno para
ser atendido.
t Fiabilidad. Los procedimientos ya no dependen de personas, sino de sistemas.
