seguridad/conceptos... · 2014. 11. 6. · sistemas operativos y biometria entre otros. otro...

○ ○ ○ ○ ○ ○ ○ ○

○

○

○

○

○

○

○

○

○

○

○

○

○

○

○

○

○

○

○

○

○

○

○

○

○

○

○

○

○

○

○

○

○

○

○

○

○

○

○

��

��

Lima, Marzo de 2000

�� !��

�� "��!�� #$$��%�� &'(�)��(�)��*�!+�,#-��.��/��0�1��22��!+ � 3#$��!��

Seguridad de la Información

Instituto Nacional de Estadística e Informática 3

Presentación

El Instituto Nacional de Estadística e Informática (INEI), en el marco del plan de acción diseñado

para sensibilizar y promover la Seguridad de la información en las Entidades Públicas y Privadas, pone adisposición el presente número titulado “Conceptos sobre Seguridad de la Información”

El concepto de la seguridad de la información es amplio, debido a la gran cantidad de factores

que intervienen, sin embargo es posible dar una aproximación a la definición y se puede decir que laseguridad es el conjunto de metodologías, documentos, programas y dispositivos físicos encaminados a

lograr que la información disponible en un ambiente dado, tengan acceso única y exclusivamente

quienes tengan la autorización para hacerlo.

Así mismo la publicación describe las diversas técnicas y herramientas disponibles para proteger

la información tales como los cortafuegos o firewalls, claves de acceso, encriptación, seguridad en los

sistemas operativos y biometria entre otros.

Otro aspecto importante que se trata en este libro está relacionado a la importancia de los Planes

de Seguridad informáticos y la Implementación de auditorías para evaluar y controlar su cumplimiento

así como la elaboración de Planes de Contingencia.

El Instituto Nacional de Estadística e Informática INEI, pone a disposición de las entidades de la

administración pública y privada la presente publicación esperando contribuir al conocimiento y al

desarrollo de la Cultura informática en el País.

Econ. Félix Murillo AlfaroJefe

INSTITUTO NACIONAL DEESTADISTICA E INFORMATICA


Instituto Nacional de Estadística e Informática4



Contenido

1. Introducción.................................................................................................................... 7

2. Seguridad de la Información ............................................................................................. 9

3. Las Tecnologías de Información en la Actualidad............................................................. 11

4. Vulnerabilidad de los Sistemas Informático ....................................................................... 14

4.1 Amenazas a la Seguridad de la Información ............................................................ 14

4.2 Amenazas por Internet ......................................................................................... 16

4.3 Virus Informáticos ................................................................................................ 184.3.1 Tipos de Virus Informáticos ......................................................................... 20

4.3.2 Otras formas de Virus Informáticos .............................................................. 20

5. Sistemas de Seguridad.................................................................................................... 225.1 Firewalls (cortafuegos)........................................................................................... 22

5.1.1.Alcances de los Firewalls ............................................................................. 22

5.1.2.Limitaciones de los Firewalls ........................................................................ 23

5.2 Encriptación ....................................................................................................... 235.2.1.Criptología................................................................................................. 25

5.2.2.Criptografía................................................................................................ 25

5.2.2.1 Sistemas de Cifrados...................................................................... 26

5.3 Esteganografía ..................................................................................................... 305.4 Biometría ............................................................................................................ 30

6. Seguridad en los Principales Sistemas Operativos ............................................................. 32

6.1 Seguridad en Windows 200 .................................................................................. 326.2 Seguridad en Novell.............................................................................................. 32

6.3 Seguridad en Unix................................................................................................ 33

7. Seguridad en el Comercio Electrónico ............................................................................. 357.1 PKI ..................................................................................................................... 36

7.2 Seguridad para aplicaciones del Web...................................................................... 37

7.3 Seguridad para correo electrónico ......................................................................... 37

8. Plan de Contingencia ..................................................................................................... 38

9. Plan de Seguridad de la Información................................................................................ 40

10. Auditoría de Seguridad Informática como elemento de control........................................... 42

11. Bibliografía ................................................................................................................... 44



1. Introducción

En la actualidad las empresas utilizan con más frecuencia las computadoras para manejary almacenar su información vital que constituye elactivo mas valioso, esto les trae muchos beneficios,pero también los hace vulnerables a los diferentesdelitos que se pueden cometer por medio de lascomputadoras si no se cuentan con un sistema deseguridad. Entre ellos, se pueden mencionar el robo,destrucción o modificación de información, fraude, etc.Que son realizados por personas con algúnconocimiento de computación, ya sea dentro o fuerade la empresa.

Esta situación hace que las empresas estén invirtiendo una parte de su presupuesto en laseguridad y protección de la información que maneja. Hoy en día, existen varias técnicas yherramientas para proteger la información, entre ellas cabe mencionar la implantación depolíticas de seguridad tales como el uso de cortafuegos, claves de acceso, encriptación ycodificación de mensajes, entre otros.

Uno de los principales peligros hoy en día corresponde a los llamados Hacker, el términoHACKER (que en castellano significa "Cortador"), sonpersonas con conocimientos de informática que elaboranprogramas y son capaces de descubrir los códigos de accesoa los sistemas, puertos libres sin control, errores en lossistemas operativos o alguna ventaja que le brinden lossistemas. De esta forma, logran ingresar a los sistemasinformáticos de las organizaciones.

Una de las formas mas comunes, consiste en la creación de programas que desencriptano identifican las contraseñas de acceso a la información, eliminando de esta manera la protecciónde los sistemas. Otra forma, que algunos llaman "Caballo de Troya", consiste en introducir dentrode un programa, un conjunto de instrucciones o rutinas, que actúan en forma imprevista, llegandoen algunos casos a borrar la información del disco duro. Otra forma que utilizan los hackers,consiste en invadir la red con gran cantidad de tráfico o múltiples mensajes hasta lograr quecolapse.

Las acciones de los crackers pueden ir desde simples destrucciones, como el borrado deinformación, hasta el robo de información sensible que se puede vender, denominado "roboeconómico". Entre estos podemos diferenciar dos tipos que los norteamericanos distinguen entre"chicos buenos" y "chicos malos". Los chicos buenos como algunos hackers, buscan los agujerosde seguridad en los sistemas (una línea mal escrita entre las miles que forman los programas) yavisan del fallo a las empresas. Los chicos malos como los crackers, son los que buscan alterary/o hurtar la información que consiguen cuando rompen los sistemas de seguridad de lascomputadoras.



Otros problemas que afectan la seguridad de la información son la proliferación los Virusinformáticos. Actualmente existen programas antivirus que estándiseñados para buscar virus, identificarlos, notificar a los usuariosde su existencia y eliminarlos de los discos o archivos infectados.

Los sistemas de seguridad se han creado para protegernuestra intimidad y otros derechos individuales. Sin embargo, enocasiones estos procedimientos de seguridad amenazan dichosderechos. Los estándares de seguridad (tales como laencriptación) y libertad de las computadoras generan importantesproblemas de carácter jurídico legal y ético.

Los delitos por computadora y alta tecnología hacen que en ocasiones sea imposiblepensar en los conceptos de derecho tradicionales y más aún el expresarse con el lenguajetradicional; esto crea nuevas e inquietantes preguntas para los abogados a veces difíciles deresponder, por tal motivo es necesario prevenir al público en general sobre la realidad de este

nuevo fenómeno delictivo y crear conciencia sobre la importanciade delinear e implementar políticas y medidas de seguridad demanera integral en las entidades y personas que manejaninformación.

Gran parte de los problemas se encuentra en la inacciónde la víctima potencial por desconocimiento o por no haber tomadolas medidas preventivas; las organizaciones que dependen cada vezmas de las computadoras, deben llegar a tener conciencia de quela implantación de medidas de seguridad mas que un gasto, sonuna inversión.

Se está haciendo aportes a la doctrina jurídica para quetanto los abogados como otras personas interesadas tengan una fuente a donde acudir, para loque sin lugar a dudas será una de las ramas del derecho de mayor desarrollo en los próximosaños, el derecho relacionado al uso de la información por computadora.

Nuestros legisladores están tomando en cuenta la necesidad de la elaboración de leyesque incriminen y castiguen adecuadamente los llamados crímenes y delitos informáticos, altatecnología y otras infracciones relacionadas.



2. Seguridad de la Información

Definir la seguridad de la información es complejo, debido a la gran cantidad defactores que intervienen. Sin embargo es posible dar una aproximación a la definición y se puededecir que la seguridad es el conjunto de recursos (metodologias, documentos, programas ydispositivos físicos) encaminados a lograr que los recursos de computo disponibles en unambiente dado, tengan acceso única y exclusivamente quienes tengan la autorización parahacerlo. Existe una medida cualitativa para la seguridad que dice: “Un sistema es seguro, si secomporta como los usuarios esperan que lo haga”.

La computadora es un instrumento que maneja grandes volumenes de información, loscuales pueden ser mal utilizados por personas intrusas o no autorizadas. La complejidad crecientey el alcance del uso de las computadoras en una organización ha propiciado que los sistemas dealmacenamiento y divulgación de información se encuentren en manos de unas cuantas personas,las cuales al efectuar su trabajo y concentrarse más que nada en ello, no realizan controlesadecuados en el uso de los mismos, es decir, en estos sistemas.

El punto de vista tradicional sobre seguridad otorga mayor atención a los aspectos deseguridad clásicos, como son: el acceso físico, y la seguridad de los datos. Ahora bien, esteenfoque parecía funcionar cuando las operaciones decómputo de una entidad estaban centralizadas, hoy en díaesta situación ha cambiado.

Estamos en la era del procesamiento distribuido ointerconectividad informática. La actualidad exige nuevastécnicas del manejo de información que agilice el intercambiode datos, puesto que cada sector que necesita información alinstante debe contar con un terminal eficiente, y no solicitarlos datos al centro de cómputo y esperar que el personal acargo se la otorgue.

Actualmente el concepto de centralización de la información puede considerarse antiguo.Para que una organización logre una inmersión exitosa, salvo algunos casos excepcionales, debeestar acorde a la globalización de la información, dándose a conocer al mundo y estableciendouna comunicación integral entre clientes actuales y potenciales.

Tomando en cuenta los párrafos anteriores, se requiere un enfoque amplio que abarquecierto número de aspectos relacionados entre sí de manera metódica, agrupándolosconvenientemente. El escrutinio cuidadoso de estas áreas revelará que ninguna de ellas es, por sísola, de importancia exclusiva. Pero puede darse el caso que en una instalación específica, puedatener mayor relevancia y, consecuentemente, requerir mayor atención. Sin embargo si se incurreen el error de excluir una de estas áreas se dejaran vacíos o poros en las estructuras referentes aadministración y control de la seguridad. El enfoque propuesto, el cual abarca metódicamentetodas estas áreas se denomina Seguridad Total.

Esto indica que en toda organización debe existir un sistema de Seguridad de Informacióny un personal responsable que este a cargo de la dirección para la aplicación adecuada,metódica, organizada y controlada de las políticas y procedimientos de seguridad física y lógicade la organización como así también de los recursos involucrados para la consecución de losobjetivos de la compañía. La seguridad debe ser tratada como una línea y como una función



personal de la organización. Debe haber consenso de que la misma involucre a toda la compañíanivel por nivel.

La función básica del director de seguridad de la información es ayudar a la gerencia ahacer que su propia seguridad sea fácil de llevar. Se tendrá cuidado de no asignarresponsabilidades al administrador que son propiamente de la gerencia. A continuación sepresenta una lista de principales funciones para el responsable de la seguridad de la información:

! Proveer un apoyo administrativo directo para la instalación de los sistemas de seguridad queaseguren el uso de todos los sistemas en línea.

! Establecer objetivos para el desarrollo futuro de los sistemas de seguridad a medida quevayan evolucionando los sistemas en línea.

! Determinar los requisitos de recursos especiales, tales como recursos humanos, capacitación,equipamiento y planes de desarrollo, programas de seguridad y los presupuestos relacionadosa la seguridad.

! Negociar con niveles múltiples de programaciónde apoyo de la gerencia para asegurar la integraciónde los objetivos de seguridad asignados, con laestrategia de procesamiento de datos a largoalcance.! Analizar continuamente y evaluar las alternativasde seguridad para determinar que línea de accióndebe seguir basada en las implicaciones técnicas,

conocimiento de los objetivos del negocio y la política de protección de activos corporativos,procedimientos y requerimientos.

! Asegurar que los proyectos asignados esten alineados con los objetivos de seguridadcorporativa y sean completados de acuerdo con el programa dentro de los gastosconsignados; informar a la gerencia tan pronto como sea posible de los problemas quepodría materialmente afectar los objetivos, programas y gastos; sugerir soluciones alternativas.

! Supervisar el uso de todos los sistemas en línea para descubrir y actuar sobre los accesosdesautorizados, y uso de los datos del propietario del negocio.

! Dirigir auditorías de seguridad, participar en evaluaciones de seguridad y proveer guía yasistencia, como es debido, para facilitar la realización de los programas de protección delpatrimonio de la institución.

! Revisar los esfuerzos de documentación asociados con diversos sistemas de seguridad.



3. Las Tecnologías de la Información en la Actualidad

La situación actual de las "Tecnologías de la Información"; informática, electrónica ytelecomunicaciones, muestran que es posible capturar, almacenar, procesar y transmitirinformación con muy pocas limitaciones en cuanto a volumen, tipo, velocidad, distancia y costo.Esto ha sido durante mucho tiempo difícil y costoso, porque eranecesario un transporte del soporte material de la información,sólo aliviado para las situaciones de proximidad física.Compárese, por ejemplo, el intervalo de un mes necesario hacecien años para enviar un mensaje de Europa a América, con lospocos segundos que bastan hoy empleando correo electrónico ofax.

Como sabemos, la relación social se apoya en lacomunicación, la consecuencia va a ser la alteración de muchosaspectos fundamentales de la estructura y las funciones de lasociedad, incidiendo directamente en el modo de entender de los grupos sociales, los símbolos, lapropiedad, la enseñanza, el trabajo y el ocio. Se está pasando de una situación en que lainformación era difícil de obtener y de manejar, a otra totalmente opuesta; habrá que pasarigualmente de una cultura de escasez a otra de abundancia de información.

Ahora se puede notar que los cambios están ocurriendo a un ritmo especialmente rápido,porque las distintas tecnologías han llegado a un punto de convergencia en el cual se aplicansinérgicamente (sinergia: acción concertada de varios órganos para realizar una función) y deforma generalizada. Aunque es difícil predecir en detalle las consecuencias, sí es posibleidentificar qué aspectos sociales se van a ver afectados.

Si hacemos un análisis previo, la Electrónica, la Informática y las Telecomunicaciones noson nuevas tecnologías, estas se han ido desarrollando progresivamente en el último siglo ymedio. El telégrafo tiene 150 años, el teléfono y la informática más de cien, la televisión y loscircuitos integrados unos cincuenta. En este tiempo, la Electrónica ha conseguido enormescapacidades de cálculo, de proceso y de almacenamiento dedatos, y poniéndolas en el mercado a precios reducidos; laInformática permite ofrecer programas eficaces para aplicacionespersonales, administrativas e industriales, técnicas eficientes decodificación y compresión de datos; y las Telecomunicacionesllegan a todas partes y permiten la transmisión de grandescantidades de información, gracias a la extensión de las redes porcable y por ondas. La influencia de todas ellas en la actividadsocial resulta evidente.

Tras ese período de desarrollo paralelo, en este últimolustro han llegado a un punto de convergencia en el cual, porprimera vez, las tres tecnologías se pueden utilizar en coordinación, de tal forma que los límitesentre una y otra empiezan a resultar difusos: televisión por cable, teléfono por computadora,teletexto, Internet. La clave de esta sinergia está en la digitalización de las telecomunicaciones,que permite su tratamiento informático.



Un ejemplo que ilustra adecuadamente las diferencias en los elementos de comunicaciónes el siguiente: El sistema hormonal, basado en sustancias que viajan de una parte del organismoa otra por distintas vías, es limitado en cuanto a velocidad y capacidad. El sistema nervioso, por elque sólo circula la información, supera esas limitaciones, resulta mucho más ágil y permitefunciones mucho más complejas.

Tecnologías y servicios

Si hacemos un resumen de lo expuesto anteriormente podemos decir que las técnologíasde información y comunicación siguen evolucionando rápidamente, a pesar de la falta de

consenso sobre los productos o servicios específicos que tendrán éxito ypor cuánto tiempo. Estamos experimentando una avalancha deinnovación caracterizada no tanto por una tecnología o ciencia única,sino más bien por el conjunto de varias tecnologías y servicios que secomplementan.

Producto de este desarrollo hoy contamos con programas masaccesibles y de facil utilización, pantallas de contacto, teclados ylenguajes sencillos que han hecho posible la diversidad, el manejoyacceso cada vez masivo y menos especializado. En el centro de esta

innovación tecnológica se encuentra el microprocesador, que provee control y memoria. Losmicroprocesadores se pueden hallar en cada dispositivo mecánico y electrónico, desde lasunidades de control (por ejemplo: señales de tráfico) hasta artefactos domésticos como el hornomicroondas.

Información y Tecnologías de la información

Para muchas organizaciones , la información y la tecnología que la soporta, representanlos activos mas valiosos, y un elemento crítico para el éxito y la supervivencia de lasorganizaciones es la administración efectiva de la información y las tecnologías de la informaciónrelacionada. En esta sociedad esta criticidad emerge de:" La creciente dependencia de información y en los sistemas que proporcionan dicha

información" La creciente vulnerabilidad y un amplio espectro de amenazas" La escala y el costo de las inversiones actuales y futuras en información y Tecnologías de

Información" El impacto de las tecnologías de información para cambiar las organizaciones y las prácticas

del negocio, crear nuevas oportunidades y reducir costos.

Al constituirse la información en el recurso fundamental de toda organización requiere deesta cuente con un conjunto de medidads de seguridad orientados prioritariamente a proteger lassiguientes propiedades de la información.

! Confidencialidad: Se define como la "condición que asegura que la información no puedaestar disponible o ser descubierta por o para personas, entidades o procesos no autorizados".La información debe ser accesada y manipulada únicamente por quienes tienen el derecho ola autoridad de hacerlo. A menudo se la relaciona con la Intimidad o Privacidad.

! Integridad: : : : Se define como la "condición de seguridad que garantiza que la información esmodificada, incluyendo su creación y borrado, sólo por el personal autorizado". La integridadestá vinculada a la fiabilidad funcional del sistema de información (la eficacia para cumplir lasfunciones del sistema de organización soportado por aquél). La información debe serconsistente, fiable y no propensa a alteraciones no deseadas. Un ejemplo de ataque a la



Integridad es la modificación no autorizada de saldos en un sistema bancario o decalificaciones en un sistema escolar. El concepto de calidad de la información de no fallas,confiable,se encuentra incluido en esta propiedad, considerando que se traslapa con elaspecto de disponibilidad relacionadas a la seguridad y tambien en alguna medidarelacionada a la efectividad y eficiencía. Los medidas y políticas de seguridad implementadasen la organización deben eliminar toda posibilidad que los datos puedan ser modificados.Como ejemplo podemos mencionar la presencia de los “hackers” o intrusos.

! Disponibilidad: Se define como el "grado en el que un dato está en el lugar, momento yforma en que es requerido por el usuario autorizado. Situación que se produce cuando sepuede acceder a un Sistema de Información en un periodo de tiempo considerado aceptable".Se asocia a menudo a la fiabilidad técnica (tasa de fallos) de los componentes del sistema deinformación. La información debe estar en el momento que el usuario requiera de ella. Unataque a la disponibilidad es la negación de servicio proveniente de un centro de información.

! Autenticación: : : : Se define como "el mecanismo que permite conocer si la persona que estaaccediendo a un sistema, es realmente quien debe acceder y no un extraño". Se refieretambién a los mecanismos que se utilizan por ejemplo en temas como el correo electrónicopara garantizar la autenticidad del remitente (un mecanismo son las firmas digitales).

Para poder salvaguardar las características y propiedades de la información, seránecesario tener algunas consideraciones como :

" Para leer datos y modificar un registro, etc. será necesario saber de quien se trata y si lapersona está autorizada. Por lo tanto será preciso identificar a la persona o usuario(Identificación) de forma totalmente fiable (Autenticación oVerificación), y consultar un archivo, base de datos y/oalgoritmo que nos permita verificar que al persona tiene ono autorización para realizar la acción demandada(Autorización).

" Se debe establecer un sistema para identificar a laspersonas o usuarios (Gestión de la identificación)

" Se debe definir un sistema para autentificar al usuario (uso de contraseñas), y que paracada usuario se haya definido una tabla de permisos. Cuando el usuario intente entrar enel sistema, deberá dar su identificación, que el sistema verificará si la tiene en sus tablas(Comprobación del Identificador), realizar la operación pertinente para demostrar que esquien dice ser (dar su contraseña) y, el sistema comprobará que este autenticadorcorresponde al identificador indicado (Autenticación). Cuando el usuario intente acceder aun recurso, el sistema verificará si este usuario tiene o no el permiso correspondiente, oque su nivel y categoría le permiten realizar la acción demandada.

El administrador de seguridad será el encargado de introducir los datos de los privilegiosal sistema. Los privilegios pueden darse individualmente a una persona o bien a un grupo depersonas con las mismas características. También hay sistemas en los que un usuario normal da laautorización a un tercero sin la necesidad del administrador de seguridad.



4. Vulnerabilidad De Los Sistemas Informaticos

Es frecuente que cada semana la prensa especializada en los sistemas de informaciónhablen de otro fallo de seguridad: un virus que se aprovecha de las macros que manejan lasherramientas del Office de Microsoft, una vulnerabilidad en Windows o UNIX, un problema de

Java, un agujero de seguridad en una de las páginas principales deInternet, un ataque contra un popular cortafuegos.

Una forma común de "probar" la seguridad es realizarrevisiones de seguridad. Esto es un proceso manual costoso yrequiere de un tiempo. No es suficiente comprobar los protocolos deseguridad y los algoritmos de cifrado. Una revisión debe cubrirespecificación, diseño, aplicación, código fuente, funcionamiento, ytodo lo demás. Así como la prueba funcional no puede demostrar laausencia de errores, una revisión de seguridad no puede demostrarque el producto sea realmente seguro.

Tomemos el siguiente ejemplo: Una revisión de seguridad de la versión 1.0 dice pocosobre la seguridad de la versión 1.1. Una revisión de seguridad de un producto del softwareaislado no sirve necesariamente para el mismo producto en un ambiente operacional. Y cuantomás complejo sea el sistema, más compleja se vuelve una evaluación de seguridad yposiblemente habrá mas fallos de seguridad.

Pensemos en el supuesto que un producto de software sedesarrolla sin ninguna comprobación funcional en absoluto.Ninguna comprobación funcional de las versiones alfa o beta. Seescribe el código, se compila, y se envía. Las posibilidades de queeste programa simplemente funcione incluso dejando de lado queesté libre de errores es cero. A medida que aumenta lacomplejidad del producto, aumentará el número de errores.Todos sabemos que las pruebas son esenciales.

Los productos se vuelven más complejos cada año, lossistemas operativos son más grandes, tienen más características,

más interacciones entre los diferentes programas en Internet. Windows NT lleva buen tiempofuncionando y todavía se descubren errores de seguridad. El incremento en el uso de lascomputadoras y la convergencia en Internet, están aumentando a un ritmo creciente. Los sistemasse están convirtiendo en más y más complejos, y en algunamedida inseguros.

4.1. Amenazas a la seguridad de la Información

Se define como amenaza, a una condición del entorno delsistema de información (persona, máquina, suceso o idea) que,dada una oportunidad, podría dar lugar a que se produzca unaviolación de la seguridad (confidencialidad, integridad,disponibilidad o uso legítimo). La política de seguridad y el análisisde riesgos habrán identificado las amenazas que han de sercontrarrestadas, dependiendo del diseñador del sistema deseguridad.



Las amenazas a la seguridad en una red pueden presentarse en el flujo de informacióndesde una fuente ( como por ejemplo un archivo o una región de la memoria principal) a undestino (como por ejemplo otro fichero o un usuario). Un ataque no es más que la realización deuna amenaza.

Las cuatro categorías generales de amenazas o ataques son las siguientes:

! Interrupción: Se produce cuando un recurso del sistema es destruido o se vuelve nodisponible. Este es un ataque contra la disponibilidad. Ejemplos de este ataque son ladestrucción de un elemento hardware, como un disco duro, cortar una línea de comunicacióno deshabilitar el sistema de gestión de archivos.

! Interceptación: Una entidad no autorizada consigue acceso a un recurso. Este es unataque contra la confidencialidad. La entidad no autorizada podría ser una persona, unprograma o una computadora. Ejemplos de este ataque son tan simples como hacer click enuna línea para tomar los datos que circulan por la red y la copia ilícita de archivos oprogramas (interceptación de datos), o bien la lectura de las cabeceras de paquetes paradesvelar la identidad de uno o más usuarios implicados en la comunicación observadailegalmente (interceptación de identidad).

! Modificación: Una entidad no autorizada no sólo consigue acceder a un recurso, sino quees capaz de manipularlo. Este es un ataque contra la integridad. Ejemplos de este ataque sonel cambio de valores en un archivo de datos, alteración de un programa para que funcionede forma diferente, modificación el contenido de mensajes que están siendo transferidos porla red entre otros.

! Fabricación: Una entidad no autorizada inserta objetos falsificados en el sistema. Este es unataque contra la autenticidad. Ejemplos de este ataque son la inserción de mensajes trivialesen una red o añadir registros a un archivo.

Estos ataques se pueden asimismo clasificar de forma útil en términos de ataques pasivos yataques activos.

Ataques pasivos

En los ataques pasivos el atacante no altera la comunicación, sino que únicamente laescucha o controla, para obtener información que está siendo transmitida. Sus objetivos son lainterceptación de datos y el análisis de tráfico, una técnica más sutil para obtener información dela comunicación, consiste en:

" Obtención del origen y destinatario de la comunicación, leyendo las cabeceras de lospaquetes controlados.

" Control del volúmen de tráfico intercambiado entre las entidades controladas, obteniendo asíinformación acerca de actividad o inactividad inusuales.

" Control de las horas habituales de intercambio de datos entre las entidades de lacomunicación, para extraer información acerca de los períodos de actividad.

" Los ataques pasivos son muy difíciles de detectar, ya que no provocan ninguna alteración delos datos. Sin embargo, es posible evitar su éxito mediante el cifrado de la información y otrosmecanismos que se verán más adelante.



Ataques activos

Los ataques activos implican algún tipo de modificación del flujo de datos transmitido, o lacreación de un falso flujo de datos, pudiendo subdividirse en cuatro categorías:

! Suplantación de Identidad: El intruso se hace pasar por una entidad diferente.Normalmente incluye alguna de las otras formas de ataque activo. Por ejemplo, secuencias deautenticación pueden ser capturadas y repetidas, permitiendo a una entidad no autorizadaacceder a una serie de recursos privilegiados suplantando a la entidad que posee esosprivilegios, esto es posible al sustraer la contraseña de acceso a una cuenta.

! Repetición Indeterminada: Uno o varios mensajes legítimosson capturados y repetidos para producir un efecto no deseado,como por ejemplo ingresar dinero repetidas veces en una cuentadada.

! Modificación de Mensajes: Una porción del mensajelegítimo es alterado, o los mensajes son retardados oreordenados, para producir un efecto no autorizado. Por ejemplo,el mensaje “Ingresa 10 mil soles en la cuenta A” podría sermodificado para que diga “Ingresa 100 mil soles en la cuenta B”.

! Degradación fraudulenta del servicio: Impide o inhibe el uso normal o la gestión derecursos informáticos y de comunicaciones. Por ejemplo, el intruso podría suprimir todos losmensajes dirigidos a una determinada entidad o se podría interrumpir el servicio de una redinundándola con mensajes triviales. Entre estos ataques se encuentran los de negación deservicio, consistentes en paralizar temporalmente el servicio de un servidor de correo, Web,FTP, etc.

4.2 Amenazas por Internet

Los peligros por Internet son cada vez mas complejos y van en aumento tal es así que lossistemas de seguridad se ven minimizados por la presencia de nuevos virus y personas con un altoconocimiento de Informática capaces de burlar cualquier sistema de seguridad teniendo comolugar de refugio a Internet.

No existe ningún tipo de seguridad en la gran red de redes, debido a que se penso en unaestructura simple “cuando se creó Arpanet”. En Internet existen, principalmente internautas que se

pasan largas horas delante de la computadora buscando atractivasimágenes, otros simplemente buscan algún tipo de información paraterminar un trabajo, otros buscan temas de entretenimiento y diversión,pero una pequeña minoría se pasa largas horas tratando de romper lossistemas de seguridad, con el único fin de lograr sus objetivos basadosen satisfacciones personales. Entrar en un lugar supuestamente“seguro”, los que lo consiguen simplemente se llenan de alegría, unadiminuta minoría se queda en el lugar y altera todo lo que ve a supaso. Dentro de esta galería de personajes podemos nombrar a lossencillos internautas, los Hackers, Crackers o los Lamers entre unconjunto de intelectuales expertos en temas informáticos, quedescribiremos a continuación.



Hacker

El Hacker es una persona con conocimientos de electrónica e informática, que prueba ymodifica las cosas que tiene entre sus manos y se pasa largas horas pensando en ello. Existen dos

tipos de Hackers, los Hackers en si y los Hardware Hackers. Elprimero de ellos practica con las computadoras, el segundo con laelectrónica.

Pero ambos conocen bastante ambos extremos, ya que leson útiles tener conocimientos electrónicos e informáticos. AlHacker le entusiasma todo lo que rodea la tecnología, la telefoníacelular, las computadoras, las tarjetas de crédito electrónicas o losSatélites. Normalmente lee demasiadas revistas y estudia pesadoslibros de técnica.

Los Crackers

Los Crackers en realidad son Hackers, pero con intenciones que van mas allá deexperimentar en casa, que se dedica única y exclusivamente adestruir sistemas electrónicos o informáticos. Alcanza satisfaccióncuando logra destruir un sistema y esto se convierte en unaobsesiva compulsión y aprovecha la oportunidad para demostraral mundo de sus conocimientos y que son capaces quebrantarlos sistemas de seguridad.

Los Gurús

Son los maestros y enseñan a los futuros Hackers. Normalmente se trata de personasadultas, porque la mayoría de Hackers son personas jóvenes, que tienen amplia experiencia sobrelos sistemas informáticos o electrónicos y están de alguna forma allí, para enseñar o sacar decualquier duda al joven aprendiz. Es como una especie de profesor que tiene a sus espaldas unascuantas medallas que lo identifican como el mejor de su serie. El gurú no esta activo, peroabsorbe conocimientos ya que sigue practicando para conocimientos propios y solo enseña lastécnicas mas básicas.

Los Lamers

Estos personajes son peligrosos, no tienen conocimientos y creen tener el mundo en susmanos. Si cae en sus manos un programa generador de Virus, este, lo suelta en la red sin

comprender el daño que puede causar. Es el típico tipo que se pasa la vida “molestando“ a los demás, enviando bombas lógicas o Virus por la Red.

Los CopyHackers

Pertenecen a una nueva generación de falsificadores. Obtienen lo que lesinteresa y se lo venden a alguien sin escrúpulos que comercializará el sistemaposteriormente. Estas personas quieren vivir del cuento y son obsesivas. Suelenleer todo lo que hay en la Red y las revistas técnicas en busca de alguna personaque sabe algo. Después se pone en contacto con esta persona y trata de sacarlela idea. Cuando lo consigue, no tiene escrúpulos en copiarlo, llevarlo a cabo yvendérselo a otra persona denominado “bucanero”.



Los bucaneros

Se trata de comerciantes, por que venden los productos comprados a los Copy Hackersproductos como ultimos programas de aplicación crackeados. Suelen ser personas sin ningún tipo

de conocimientos ni de electrónica ni de informática, pero si denegocios. El bucanero compra al CopyHacker y revende elproducto bajo un nombre comercial. En realidad es un empresariocon mucha obsesión a ganar dinero rápido y de forma desonesta.

El Newbie

Que significa novato, persona que aprende lentamente, seintroduce en un sistema fácil y a veces fracasa en el intento, porque

ya no se acuerda de ciertos parámetros y entonces tiene que volver a visitar la pagina web paraseguir las instrucciones de nuevo. Es el típico tipo, simple y nada peligroso.

Wannaber

Toda aquella persona que quiere ser Hacker, pero su capacidad intelectual yconocimientos es insuficiente, no consigue aprender nada y se exprime al máximo. Y al finalnunca logra nada, sin embargo, posee paciencia y actitud positiva. De lo contrario se sumergiríaen una grave depresión.

Piratas informáticos

A menudo confundidos con Hackers, los piratas informáticos son aquellos quesimplemente hacen click sobre el icono copiar a disco. El programa y la grabadora hacen el resto

del trabajo. Una vez copiado el programa lo vende. Este es quizás elmas peligroso de todos en cuanto a derechos de copyright, ya queestafa y crea copias ilegales de soportes audiovisuales.

Phreakers

Son individuos con amplios conocimientos de los sistemas detelefonía, incluso mas que los propios técnicos de las compañíastelefónicas. Estos tipos han sabido crear todo tipo de cajas de colorescon una función determinada. Por ejemplo la caja azul permiterealizar llamadas gratuitas, ya que emula el tono de 2600 Hz para

desactivar el contador de la centralita. Actualmente se preocupan mas de las tarjetas prepago,que de estas cajas, ya que suelen operar desde cabinas telefónicas o móviles.

4.3 Virus Informáticos

Una de las principales amenazas de la red mundialson los virus, que son programas capaces deautoreplicarse o dicho de otra manera, son capaces deautocopiarse en otro archivo al que ocupa. Este métodobloquea y llena el disco duro de una PC. Otros virus,además poseen funciones de modificaciones en losprincipales ficheros del sistema operativo de lacomputadora. Pero los hay también benignos que solo muestran mensajes en la pantalla. Nosdetendremos a estudiar los diferentes tipos de virus y analizaremos algunos de ellos, como para



tenerlos en cuenta. Los virus poseen unas particularidades que los hacen perfectamentereconocibles por la forma en que trabajan, los virus poseen un proceso de creación, incubación yreproducción.

Tiempo de vida

Los virus se crean o nacen, en la computadora del creador como subprograma omicroprograma ejecutable. Después se “suelta” en la red o se copia dentro de un programacomercial de gran difusión, para asegurar un contagio rápido y masivo. Después de esta primerafase de creación, vienen las fases mas importantes tales como contagio, incubación replicación yataque.

El contagio

El contagio es quizás la fase mas fácil de todo este arduo proceso. Solo hay que tener encuenta que el virus debe introducirse o “soltarse” en la red. El virus debe ir incrustado en unarchivo de instalación o en una simple pagina WEB a través de los cookies. Las vías de infecciónson también principalmente los disquetes, programas copiados, Internet o el propio correoelectrónico.

La incubación

Generalmente los virus se crean de formas especificas que atienden a una serie deinstrucciones programadas como el “esconderse” y “reproducirse” mientras se cumplen unasopciones predeterminadas por el creador del virus. Así, el virus permanece escondidoreproduciéndose en espera de activarse cuando se cumplan las condiciones determinadas por elcreador. Este proceso puede ser muy rápido en algunos casos y bastante largo en otros, según eltipo de virus.

La replicación

La replicación consiste en la producción de una copiade si mismo, que se situará en otro archivo distinto al queocupa. De esta forma el virus se contagia en otros archivos yotros programas, asegurándose de que el proceso demultiplicación esta asegurado. Además, el virus asegura suextensión a otras computadoras y debe hacerlo de la formamas discreta y rápida posible. En este momento el virus no semanifiesta, ya que solo se instala en todos los lugaresposibles. Solo de esta forma, hay mas posibilidades de dañarun mayor numero de computadoras.

El ataque

Cuando se cumplen las condiciones, efectuadas por el creador del virus, este entra enactividad destructora. Aquí es donde formatea el disco duro o borra archivos con extensión COMo EXE por citar algunos ejemplos. El ataque es el escalón final del trabajo del virus. Cuando sellega a este punto el trabajo ha culminado. La computadora se encuentra infectada y si no sedispone de un programa que elimine el virus, jamas se podrá recuperar los archivos. Podemosinstalar de nuevo el software, pero de nuevo tendremos la destrucción de nuestra unidad nadamas se cumplan los acontecimientos antes citados. Estos programas capaces de destruir el virus,se denominan vacunas antivirus.



4.3.1. Tipos de virus Informáticos

Internet aporta, lo que se podría decir una vía rápida de infección de este tipo deprogramas dañinos. Antes, la distribución o infección de los virus, era algo mas que una tarealenta y ardua, ya que solo se contagiaban a través de disquetes.

Entre algunos tipos de Virus conocidos podemos mencionar:

" Virus de arranque o Virus de Boot. Los Virus de boot o de arranque eran hastalos 90 los típicos virus que infectaban elsector de arranque del disco y estos eranintroducidos a la computadora a través dedisquetes. El modo de funcionamiento esbásico, al arrancar la computadora, elvirus se instalaba en la memoria RAMantes que los ficheros del sistema INI.Para no ser detectados, estos virus deBoot, se copiaban a si mismos en otrolugar del disco duro, con el fin de no serdescubiertos.

" Virus de Macro. Los virus de Macro están mas elaborados y son virus escritos apartir del macrolenguaje de una aplicación determinada.

• Virus polimórficos. estos virus son capaces de cambiar de estado o la propiacadena de datos. De esta forma el mismo Virus puede verse dividido en variassecciones repartidas en varios ficheros, pero a causas naturales actúa como tal. Estosvirus pueden estar encriptados y muy bien repartidos por decenas de ficheros, con locual se convierten en los virus mas peligrosos, dado que pueden ser programaslargos.

• Virus multiparte. estos virus están conformados a base de Virus tipo boot queoperan desde la memoria y virus de Fichero, que infectan extensiones ejecutables.Estos Virus también pueden burlar los modernos métodos heurísticos de búsqueda delos programas antivirus.

4.3.2. Otras formas de Virus Informáticos

A la lista de virus anteriormente comentados podemos añadir algunos mas que revistenimportancia por su presencia en Internet :

Los caballos de Troya

Son programas que normalmente ocupan poco espacio y se ocultan a voluntad en elinterior de un ejecutable. Este subprograma se coloca en un lugar seguro de la maquina para noser detectado y no modifica nada de los archivos comunes de la computadora y cuando secumplen unas especificaciones determinadas el subprograma muestra unos mensajes quesugieren o piden la contraseña al usuario de la maquina. En otros casos simplemente lee elpassword cuando nos conectamos a la red, tras copiar el password, este se encripta y se envía porcorreo electrónico adjunto. El Hacker lo que debe de hacer ahora es “ capturar “ ese mensaje ydescifrar su propio código. El mensaje es fácilmente capturado, mediante un sniffer, esto es, un



programa de monitorización en la red, pero los mas expertos emplean caballos de Troya masinteligentes, que lo que hacen es reenviar o “ desviar “ el mensaje a una dirección del Hacker sinque el usuario se de cuenta.

Las Bombas Lógicas

Son programas dañinos realizados por los Crackers, al igual que un virus las bombaslógicas están especialmente diseñadas para destruir o alterar información. Existen dos definiciones

del mismo acrónimo o programa asociado. Una es la decrear un subprograma que se active después de un tiempollenando la memoria de la computadora y otra es la decolapsar nuestro correo electrónico. De cualquier formaambas son dañinas, pero actúan de forma diferente. En laprimera referencia, este se instala en nuestra computadoradespués de ser bajado junto a un mensaje de e-mail. Seincuba sin crear ninguna copia de si mismo a la espera dereunir las condiciones oportunas, tras ese periodo de esperael programa se activa y se autoreplica como un virus hasta

dañar nuestro sistema. En el caso segundo, alguien nos envía una bomba lógica por e-mail queno es sino que un mismo mensaje enviado miles de veces hasta colapsar nuestra maquina. Losprogramas antivirus no están preparados para detectar estos tipos de bombas lógicas, peroexisten programas que pueden filtrar la información repetida.

Los gusanos “ Worm “

Son programas que se copian en archivos distintos en cadena hasta crear miles dereplicas de si mismo y tienen como única misión la de colapsar cualquier sistema,. Así un “gusano “ de 866 Kbytes, puede convertirse en una cadena de ficheros de miles de Megas, que asu vez puede destruir información.

Los Spam

No se trata de un código dañino, pero si bastante molestoso. Se trata de un simpleprograma que ejecuta una orden repetidas veces. Normalmente en el correo electrónico. Así unmensaje puede ser enviado varias cientos de veces a una misma dirección. En cualquier casoexisten programas antispam, ya que los spam son empleados normalmente por empresas depublicidad directa.



5. Sistemas de Seguridad

INTERNET no es solamente salida al mundo, sino es la entrada del mundo a nosotros ,por lo tanto los riesgos de seguridad en la red crecen a diario y el número de usuarios queaccesan al servidor de una organización se incrementan en forma acelerada. Uno de losproblemas es que no todas las personas que accesan al servidor a través de Internet se presentancon buenas intenciones, existen intrusos que se conectan buscando información a la que no tieneacceso en forma licita. Dado estos problemas es necesario plantearse un conjunto de estrategiasa fin de minimizar la vulnerabilidad de los sistemas y redes de computo. Abordaremos brevementealgunos mecanismos de seguridad que están cobrando importancia en la actual sociedad de lainformación.

5.1 Firewalls (Cortafuegos)

Es un equipamiento, combinación de hardware y software que muchas empresas uorganizaciones instalan entre sus redes internas y el Internet. Un cortafuegos permite que sólo untipo específico de mensajes pueda entrar y/o salir de la red interna.Esto protege a la red interna de los piratas o hackers que intentanentrar en la red a través de Internet.

Un Firewalls (cortafuegos) permite restringir laentrada/salida de los usuarios aun punto que puede controlarsecuidadosamente. También permite que los atacantes puedanacercarse a nuestras defensas. El Firewalls a menudo se instala enel punto de conexión de nuestra red con la Internet, no puedesolucionar todos los problemas de seguridad y debe utilizarse juntoa otras medidas internas de seguridad.

Debido a que un firewall se coloca en la intersección de dos redes, este puede ser usadopara muchos otros propositos además de simplemente controlar el acceso, mencionamos algunosejemplos:

" Los Firewalls pueden ser usados para bloquear el acceso a sitios particulares enINTERNET, o para prevenir a ciertos usuarios o maquinas acceder a determinadosservicios o servidores.

" Puede ser empleado para monitorear las comunicaciones entre una red interna y laexterna

" Si la organización cuenta con mas de una localización física y se tiene un firewall paracada localización, estos se pueden programar para que automaticamente encriptenpaquetes que son enviados sobre la red entre ellos.

5.1.1 Alcances de los Firewalls

• Proporciona un punto donde concentrar lasmedidas de seguridad.• Ayuda a llevar a cabo la política de seguridad.• Permite desactivar servicios que se consideraninseguros desde Internet.• Permite restringir fácilmente el acceso o la salidadesde/hacia determinadas maquinas.



• Permite el registro de información sobre la actividad entre la red interna y el exterior.• Aisla secciones internas de la red de otras.

5.1.2 Limitaciones de los Firewalls

• No puede proteger de enemigos internos.• La información confidencial no solo puede exportarse a través de la red.• Las acciones indebidas sobre maquinas (accesos no autorizados, introducción de virus,

etc.) se pueden realizar aun mas facilmente desde la red interna.• No puede impedir ni proteger conexiones que no pasan a través del firewall.• No puede proteger contra nuevos tipos de ataque que no tiene catalogados.• No puede impedir la entrada de virus.

• El mayor problema de los cortafuegos es que restringen mucho el acceso a Internet desde lared protegida. Básicamente, reducen el uso de Internet al que se podría hacer desde un

terminal. Tener que entrar en el cortafuegos y desde allírealizar todo el acceso a Internet es una restricción muyseria. Programas como Netscape que requieren unaconexión directa con Internet, no funcionan desde detrásde un cortafuegos. La solución a todos estos problemases un Servidor Proxy.

Los servidores proxy permiten el acceso directo aInternet desde detrás de un cortafuegos. Funcionan abriendo un socket en el servidor ypermitiendo la comunicación con Internet a través de él

5.2. Encriptación

Desde años atrás se buscó, la forma de cifrar u “ocultar “ un mensaje mediante técnicasreversibles. Cifrar un texto o mensaje, conlleva a que si este es interceptado por alguien, el textono pueda ser descifrado sin la clave correcta. Los sistemas criptográficos se han extendido en laRed, buenos y malos emplean la criptografía para “esconder” sus mensajes.

Si nos remontamos a la historia, en el antiguo Egipto seemplearon sistemas criptográficos y prueba de ello son losjeroglíficos no estándar escritos en las paredes de las pirámides yalgunas tumbas. Esto, data de 4.000 años atrás y el sistema sebasaba en figuras geométricas y dibujos, que conformaban unmensaje no descifrable.

En otros lugares como Grecia, ya empleaban sistemascriptográficos, aproximadamente en el año 500 a.C. Estosempleaban un curioso artificio llamado “scytale” que consistía en un cilindro alrededor del cual,se enrollaba una tira de cuero. Se escribía un mensaje sobre la tira, y al desenrollarla, se podíaver una combinación de letras, aparentemente sin sentido alguno. Nótese que ya desde esatemprana edad, los sistemas de cifrado se sostenían sobre la base de intercambiar las palabras delos textos, y por tanto se trataban de sistemas de cifrado clásicos, ya que únicamente senecesitaban encriptar mensajes escritos.



Julio Cesar también empleó un sistema de cifrado durante su reinado. Su sistema sebasaba en sustituir la letra a encriptar por otra letra distanciada a3 posiciones mas adelante. De esta forma se obtenían mensajesnada entendibles y durante su reinado y posterior el sistema nuncafue desencriptado por aquel entonces. En el siglo XII, el sabioingles Roger Bacon, describió diversos métodos criptográficos aligual que Gabriel di Lavinde “quien inventó el sistemaNomemclator”, quien publicó en 1379 una compilación desistemas a petición del Papa Clemente VII. Es curioso saber quehasta la propia Iglesia tenía que echar mano a sistemascriptográficos. Los sistemas empleados por esas fechasindudablemente se basaban en métodos clásicos por sustitución.

En 1467 León Batista Alberti invento el primer sistema criptográfico polialfabético y no fuehasta el siglo XVIII, cuando fue descifrado. En 1790 Thomas Jefferson invento su cilindro detransposiciones, que fue ampliamente utilizado durante la segunda guerra mundial por la armadade los Estados Unidos. Pero el sistema no duraría mucho, ya que se basaba en un sistemapolialfabético y en 1861 se publicó la primera solución generalizada para resolver cifradospolialfabéticos, poniendo fin a 400 años de silencio. Sin embargo los sistemas criptográficos noexperimentaron ni parada alguna ni mucho menos demora en sus sistemas de cifrado.

Las grandes guerras impulsaron la creación de nuevos sistemas criptográficos maspotentes y difíciles de entender. La maquina Enigma desarrollada por los alemanes a mediados delos 70 fue un duro golpe para el criptoanálisis y sobre todo para los expertos en sistemas

criptográficos. Poco después de los 70 aparecieron lossistemas criptográficos denominados modernos. Así en 1976el código DES hizo su aparición gracias al desarrollo decomputadoras digitales.

A partir de esto los algoritmos y sistemas decriptografía experimentarían un interés ineludible. El sistemaDES fue el primero de los sistemas complejos, pero introdujola clave secreta, que debía, esta, ser muy guardada si sequería mantener la fuerza del sistema, ese mismo año hacíanla aparición estelar Diffie y Hellman, creadores del primersistema de cifrado basado en claves publicas. Sistemasaltamente seguros. Un año después Rivert, Shamir y Adelman

se sacaban de la manga el sistema criptográfico de actualidad, el RSA. Un sistema basado enbuscar números primos, nada fácil de solucionar. Hasta la fecha el sistema esta siendo empleadopor computadoras y sistemas de codificación de canales de televisión.

Finalmente, el sistema criptográfico mas conocido en la red de Internet para todos loscibernautas, es el sistema PGP de Phil Zimmerman, creado en 1991. Sin embargo hay que decirque este sistema criptográfico, mas que eso, es un programa que reúne los sistemas criptográficosmas fuertes del mercado como el DSS o el de Diffie-Hellman. Pero lo que hace es jugar con ellosy así se obtienen brillantes encriptaciones realmente seguras.

Hoy por hoy el sistema objetivo por un gran numero de Hackers es el mencionado PGP,ya que es el mas ampliamente utilizado por los navegantes. De momento no se ha conocidoapertura ninguna de este sistema, sin embargo las nuevas computadoras del futuro, ponen enmanos de Hackers herramientas verdaderamente potentes que acabaran con todos estos sistemascriptográficos de gran seguridad.



5.2.1 Criptología

Criptología es el arte de transformar un mensaje claro en otro sin sentido alguno. Estemensaje debe ser reversible en el otro extremo igual que si no hubiera sucedido nada. Es masfácil encriptar un texto que una señal de video, pero siempre resultara mas complicadodesencriptar el texto que la señal de video. En una señal de video siempre puedes ver que sucede,pero en un texto normalmente no puedes adivinar nada, además los ficheros apareceránencriptados y no podrán ser leídos por comandos estándares. Pero la criptología o los programascriptográficos no son toda la seguridad que se pretende crear. Existen a su vez diversoscomplementos que aumentan la seguridad de un terminal informático.

Podemos impedir que un intruso entre en nuestro sistema, pero que sucede cuandotenemos que enviar algo a otro punto de la red. Inevitablemente nuestro trabajo corre peligro deser capturado por alguien externo a nuestro deseo. El programa PGP de Zinmerman es unasolución muy buena a nuestro problema.

5.2.2 Criptografía

Criptografía significa literalmente “escritura secreta”, es la ciencia que consiste en“transformar un mensaje inteligible” en otro que no lo sea en absoluto, para después devolverlo asu forma original, sin que nadie que vea el mensaje cifrado sea capaz de entenderlo.

Los sistemas de cifrado simétricos, son mas débiles que los sistemas de cifrado asimétricos,esto es así, porque ambos, emisor y receptor deben de emplear la misma clave, tanto para elproceso de encriptación como para el proceso de desencriptación. De esta forma esta clave debeser enviada a través de un medio de transmisión. Un Hacker podría leer esta clave y emplearlapara desencriptar el mensaje. Si ciframos esta clave conotra clave, siempre estaríamos igual, ya que la ultima claverevelaría siempre la clave oculta. Sin embargo los sistemasde cifrado asimétricos, al emplear distintas claves, permiteel uso de medios de transmisión poco seguros.

Después de estos sistemas de cifrado enunciados,podemos encontrar otros no menos importantes, quesiempre se han empleado para cifrar textos o mensajes.Estos sistemas de cifrado son útiles para computadoras yequipos de impresión de textos. Los sistemas de cifradosimétrico y asímétricos son sistemas útiles para encriptar datos e información digital que seráenviado después por medios de transmisión libres.

Podríamos hacer una división en dos grandes familias. En primer lugar tenemos los“métodos clásicos” y en segundo lugar “los métodos modernos”. Los métodos clásicos sonaquellos que existieron desde siempre y son métodos desarrollados para cifrar mensajes escritos amano o en maquinas de impresión.

Los métodos modernos son los ya mencionados sistemas simétricos o asímétricos. Losmétodos clásicos se basan en la sustitución de letras por otra y en la transposición, que juegancon la alteración del orden lógico de los caracteres del mensaje. Así a los métodos clásicos sehan dividido en dos grupos de cifrado, son “métodos por sustitución” y “métodos portransposición”.



Los métodos por sustitución son aquellos que cambian palabras por otras, esta simpleforma de cifrar siempre ha obtenido buenos resultados. Los métodos por transposición sonaquellos que alteran el orden de las palabra del mismo mensaje. Los métodos modernos se basanen combinar secuencias de dígitos creados de forma aleatoria con los dígitos del mensaje,mediante puertas lógicas, en el caso de los módulos PRG sencillos. Otros emplean algoritmosmatemáticos de gran complejidad para permutar mensajes de cierta longitud de bits.

5.2.2.1 Sistemas de cifrados

Dentro de los métodos clásicos podemos encontrarnos con varios sistemas como los quesiguen a continuación:

• Cifrado Cesar o monoalfabético Simple.

• Cifrado monoalfabético General.

• Cifrado por sustitución polialfabética.

• Cifrado inverso.

• Cifrado en figura Geométrica.

El sistema de cifrado Cesar o monoalfabético simple

Es un método extremadamente simple y fue empleado por los romanos para encriptar susmensajes, de allí el nombre de Cesar, ya que fue en su reinadocuando nació este sistema de cifrado. Este sistema de cifradoconsiste en reemplazar cada letra de un texto por otra que seencuentre a una distancia determinada. Se sabe que Cesarempleaba una distancia de 3, así ;Sustituir A B C D E F G H Y J K L M N Ñ O P Q R S T U V W X Y ZPor D E F G H Y J K L M N Ñ O P Q R S T U V W X Y Z C B AAsí el mensaje: El Hacker acecha de nuevo, uedaría de lasiguiente manera ;

HÑ KDFNHU DFHFKD GH PXHYR

El sistema de cifrado monoalfabético general

Es un sistema que se basa en sustituir cada letra por otra de forma aleatoria. Esto suponeun grado mas de complejidad en el método de cifrado anterior. Un ejemplo seria la siguiente ;Sustituir A B C D E F G H I J K L M N Ñ O P Q R S T U V W X Y ZPor Z C Q V A J G Ñ W N FB U M R H Y O D Y X T P E S L KY empleando el mismo mensaje anterior quedaría de la siguiente forma ;AF ÑZQNAO ZQAQÑZ VA UXATR



El sistema por sustitución Polialfabética

Es un método que emplea mas de un alfabeto de sustitución. Esto es, se emplean variascadenas de palabras aleatorias y diferentes entre si, para después elegir una palabra distintasegún una secuencia establecida. Aquí nacen las claves secretas basadas en números. Estesistema es algo mas complejo que las anteriores y a veces resulta difícil descifrar mensajes cuandoempleamos mas de diez columnas de palabras aleatorias.

El sistema de cifrado inverso

Es quizás una de las formas mas simples de cifrar una imagen y es probablementereconocida por todos nosotros. Es normal escribir del revés cuando estamos aburridos, pero locierto es que este es un sistema de cifrado. La forma de hacerlo es simplemente escribiendo elmensaje al revés.El hacker hacecha de nuevo ( oveun de ehceca rekcah le )

El sistema en figura geométrica

El mensaje se empieza por escribir siguiendo un patrón preestablecido y se encriptasiguiendo una estructura geométrica basado en otro patrón. Este último patrón puede serverdaderamente complejo según la extensión del mensaje escrito y la forma de seguimiento de lalínea. Un ejemplo simple seria el que sigue:El HACKER ESTAAL ACECHOPatrón de cifrado ;Mensaje cifrado ; ECALHKAHOACRECEATSE

El método por transposición de filas

Consiste en escribir el mensaje en columnas y luego utilizar una regla para reordenarlas.Esta regla elegida al azar será la clave para cifrar el mensaje. También aquí es importante saberla clave secreta para poder descifrar el mensaje. En esta ocasión el mensaje puede estarfuertemente encriptado si se emplean textos relativamente largos. Un buen ejemplo sencillo es elque sigue;ELHACK Si la clave es 6 3 1 5 4 2 KHECALERESTA AEETSRALACEC CAAECLCHO OCH

Como hemos podido ver, todos los métodos criptográficosclásicos emplean la misma clave para cifrar y descifrar un mismomensaje. Con la llegada de las computadoras, la resolución deestos sistemas se torno prácticamente trivial y por eso han surgidonuevos métodos de encriptación mas trabajados y seguros.Algunos de ello también basados en claves secretas, cuyacomputación es prácticamente inalcanzable o bastante compleja.Tal como se ha dicho los métodos modernos son mas complejosde elaborar además de las computadoras, las tarjetas de accesoelectrónicas, son capaces de trabajar con estas encriptaciones porla elevada velocidad de computación que presentan. Al estarbasados en complejas transformaciones matemáticas de una secuencia, es indispensable disponer



de memoria volátil y capacidad de procesamiento. Estos sistemas de cifrado modernos, soncapaces de cifrar palabras de mas de 128 bits y normalmente se cifran en bloques.

Aunque aquí no vamos a detallar de nuevo estos sistemas criptográficos si vamos aenumerarlos, por supuesto los mas importantes, empleados en la red de Internet. Para ello vamosa dividir la situación en tres grupos, uno que nombrara los sistemas de cifrado basados en clavespublicas, otro grupo de cifradores basados en claves secretas y un último grupo mas reciente yempleado en la televisión digital, los métodos empleados en algoritmos.

Sistemas de cifrado de clave pública

" RSA:RSA:RSA:RSA: Es quizás el sistema de cifrado mas empleado en la actualidad. Este sistema es el elegidopara trabajar con los códigos del sistema de codificación Videocrypt, algoritmo que el

Capitán Zap (hacker muy popular) consiguió romper.Aunque después de ello se dice que sigue siendo elsistema de cifrado mas fuerte del mundo, el sistemaRSA se basa en la multiplicación de números primos,por lo que conlleva grandes operaciones matemáticas.Fue inventado en 1977 por Rivest, Shamir y Adelman,de alli el nombre RSA. También es cierto que el sistemade cifrado comentado ha sido modificado por susinventores aumentando el grado de seguridad. Elsistema permite utilizar documentos de diferentestamaños; 512 bits, 768 bits, 1029 bits, 2048 bits.

" Diffie – Hellman: Data de 1976 y se emplea fundamentalmente para el intercambio declaves, es bastante delicado enviar la clave que permite el descifrado de un mensaje. Por ellose creó este sistema de cifrado empleado únicamente para proteger claves.

Otros métodos no menos importantes son los siguientes:

" Sistema de curvas elípticas: Esta diseñado exclusivamente para cifrar textos escritos encomputadora y no se emplea para sistemas de encriptación de señales de televisiónanalógicas o digitales. El sistema se basa en los movimientos del Mouse que el usuario haceantes de la instalación del programa. Este sistema puede resultar realmente complejo.

" DDS: El sistema no ha sido publicado hasta ahora, pero se sabe que se basa en transmutar lasecuencia de los dígitos o bits. También emplea métodos de permutación y rotación de dígitosen un módulo seudo aleatorio.

" El garral: Parece un sistema español por lo menos por el nombre, pero no es así. tambiénse basa en palabras de longitudes mas o menos extensas para el cifrado de mensajes.También esta desarrollado para sistemas informáticos y transacciones.

" DES: Este sistema de encriptación es habitual verlo emplear en sistemas de encriptación deseñales de televisión para proteger los datos ECM de control de decodificación de la señal.Sin embargo según los Hackers todos los sistemas de seguridad tienen sus fallas y por lo tantopueden dejar de ser seguros, si el pirata es lo suficientemente hábil.

Básicamente es empleado para las transiciones de datos interbancarios ytransferencias de alto riesgo. Las tarjetas de acceso inteligente de los telebancos tambiénoperan según esta clave, con una palabra de unos 200 bits. El sistema de encriptación deseñales de video Nagravision lo emplea para proteger los datos ECM y EMM del sistema. El



sistema de cifrado DES se basa en la permutación de la longitud de bits, unos 200 por logeneral, en al menos 16 permutaciones en la primera versión de este sistema de cifrado,después los datos son rotados a situaciones irrelevantes. El sistema esta descrito en el capituloCarding, pero es mas que probable que a estas alturas hayan modificado la estructura delalgoritmo de cifrado, pero de cualquier manera es prácticamente imposible de abrir auncuando se sabe que ruta siguen los bits, en toda la secuencia.

" IDEA: Este sistema fue desarrollado en Zurich en 1990 y emplea claves de encriptación de128 bits de longitud y se considera muy seguro. Es uno de los algoritmos mas conocidosactualmente. El método de cifrado está basado en modificar la orientación de cada bit, ycombinarla con una puerta lógica variable.

" RC4: Este algoritmo fue desarrollado por el grupo RSA. El sistema se basa en combinar cadabit con otro bit de otra secuencia. Acepta claves de cualquier longitud y emplea un generadorde números aleatorios. Es muy difícil de romper y su fuerte, esta en la velocidad decomputación admisible. Además es el método empleadopor el SSL de Nestcape en su versión con clave de 40 bits.

Además de estos sistemas de cifrado basados enclaves publicas o secretas, existen otros sistemas de cifradobasados en algoritmos. Estos nuevos sistemas no empleanclaves de ningún tipo, si no que se basan en extraer unadeterminada cantidad de bits a partir de un texto decualquier longitud. Esto es, cada cierta cantidad de textoelegido de forma arbitraria, se procede a realizar unatransformación de bits, de esta transformación se obtieneuna palabra longitud clave, esta palabra longitud tieneuna extensión de x bits preestablecidos, de esta forma eltexto es irreconocible ya que solo se pueden leer números secuenciales y no guardan relaciónalguna entre si. Este es el método, quizás, mas complejo que existe hasta el momento.

Trabajar con estos algoritmos requiere sistemas informáticos, esto es, computadoras otarjetas de acceso inteligentes que solo comuniquen el tipo de algoritmo empleado. Estosalgoritmos normalmente se basan en complejas operaciones matemáticas de difícil resolución.

Entre los sistemas desarrollados a partir de la creación de algoritmos, cabe destacar almenos dos, por su complejidad e importancia sociales.

" MD5: Este algoritmo esta desarrollado por el grupo RSA y es un intento de probar con otrossistemas criptográficos que no empleen claves. El algoritmo desarrollado es capaz de obtener128 bits a partir de un determinado texto. Como es lógico hasta el momento no se sabecuales son las operaciones matemáticas a seguir, pero hay alguien que dice que es mas queprobable que se basen en factores de números primos.

" SHA: Es un algoritmo desarrollado por el gobierno de los EE.UU y se pretende implantar enlos sistemas informáticos de alta seguridad del estado como estándar de protección dedocumentos. El algoritmo obtiene 160 bits de un texto determinado. Se sabe que existenHackers que han probado suerte, pero hasta el momento nadie ha dicho nada mas alrespecto.



5.3. Esteganografía

El término "esteganografía" viene del griego stegos, que significa "cubierta", por lo queesteganografía significaría "escritura oculta" o "escritura encubierta". Así pues, la esteganografía esel conjunto de técnicas que nos permiten ocultar o camuflar cualquier tipo de datos.

Al igual que la criptografía, la esteganografía tiene un origen muy antiguo. A lo largo dela Historia los paises fueron desarrollando técnicas que les permitieran comunicarse con susagentes en el extranjero sin que el país que acogía al espía pudiera descubrir que estaba teniendolugar esa comunicación. Lo mismo ocurrió con las organizaciones secretas o clandestinas, que lasutilizaron para comunicarse sin ser descubiertos y sin poner en peligro a sus miembros. Entrealgunas de estas primeras y sencillas técnicas esteganográficas podrían señalarse los mensajesque de pequeños todos hemos hecho escritos con zumo de limón en un papel en el que, alcalentarlo con una bombilla, aparece lo escrito. También el método que consiste en tomar variaspáginas de un libro y señalar con puntos o rayas las letras que forman el mensaje.

Y al igual que ocurrió con la criptografía, la llegada de las computadoras permitiógrandes avances en las técnicas, consiguiéndose además automatizar tareas que solían serengorrosas. Hay que dejar clara la diferencia entre lacriptografía y la esteganografía "estricta". La criptografíamodifica los datos para que no sean legibles, adiferencia de la esteganografía, que simplemente lostoma y los oculta entre otros datos. Sin embargo, hoy endía, con las computadoras, ambas técnicas soncombinables, consiguiéndose una seguridad aún mayor.

Es de esta última manera como realmente esfuerte la esteganografía. El entorno más favorable parala esteganografía es aquel en el que se realicenescaneados automatizados de los mensajes, o en los queno sea una técnica demasiado conocida. En estos últimos, los archivos que ocultan datos puedenpasar ante las narices de muchos sin levantar sospechas. Sin embargo, alguien que conozca laesteganografía y en concreto los programas, no tardará en "atar cabos". Si hemos encriptado lainformación, al menos no podrá descubrirla "de un golpe".

No hay duda de que, si la criptografía puede tener usos delictivos, la esteganografíapuede tenerlos aún más claros. Sin embargo, bien usada puede convertirse en algo muy útil.Desgraciadamente, todavía en muchos países los Derechos Humanos, total o parcialmente, sonaccesorios. Los ciudadanos de estos países que estén luchando para cambiar esa situaciónnecesitan ocultar de alguna manera la información que utilicen para sus actividades, y sisimplemente usan la criptografía, si es que están autorizados a usarla legalmente inmediatamentese convertirán en sospechosos para las autoridades. E incluso en nuestras democracias, endeterminados ambientes, alguien que usa la criptografía puede ser considerado como alguienque "tiene algo que ocultar" en vez de ser considerado como alguien que simplemente protege suintimidad. La esteganografía se convierte así, tanto combinada con la criptografía como porseparado, en una útil herramienta para proteger nuestros datos.

5.4. Biometría

El desarrollo de la sociedad de la información, con el aumento incesante, tanto envolumen como en diversidad, implica la necesidad de asegurar la identidad de los usuarios, delos accesos locales y remotos a datos informatizados.



La importancia y valor de esos datos motiva a los impostores para superar los sistemas deseguridad existentes, y por esa misma razón, a los usuarios y promotores a instalar nuevossistemas mas cada vez mas potentes y fiables.

Estas necesidades, unidas a las ya existentes anteriormente en materia de seguridad deaccesos físicos, ha determinado un interés creciente por los sistemas electrónicos de identificacióny autentificación. Su denominador común es la necesidad de un medio simple, práctico y fiable,

para verificar la identidad de una persona, sin necesidad dela asistencia de otra persona.

El mercado de los controles de acceso promovió laproliferación de sistemas, pero ninguno se ha reveladototalmente eficaz contra el fraude, porque todos utilizan unelemento externo como las tarjetas de identificación, llaves,claves...

Es frecuente olvidar una clave de acceso. Para evitarestos olvidos, se suele escribir esta clave en cuadernos,perdiendo así toda confidencialidad. La contraseña o clavees un método de pre-selección y no de control de accesoeficaz.

Existen varios medios para verificar la identidad de un individuo; la biometría esconsiderada como la más apropiada, ya que ciertos rasgos de la persona son inherentes a ella ysolo a ella.

La combinación de avances en biometría y en electrónica ha permitido el desarrollo de lasnuevas soluciones de identificación biométrica. La biometría toma en cuenta elementosmorfológicos únicos y propios de cada uno de nosotros.

En el pasado, el proceso informatizado de reconocimiento de huellas dactilares necesitabael uso de importantes y costosos medios materiales. Ello limitaba el uso a aplicaciones específicasy a organismos muy seleccionados que solían disponer de los medios necesarios (PolicíaCientífica, Judicial, control de acceso de alta seguridad). Hoy en día, los microprocesadores y elsoftware disponibles poseen la potencia adecuada para procesos de este tipo, y su costo es cadavez mas reducido.



6. Seguridad en los Principales Sistemas Operativos

6.1. Seguridad en Windows 2000

Las características combinadas de Windows® 2000 Professional conforman el sistemaoperativo para la computación de escritorio y de portátiles en todas las organizaciones. Lascaracteristicas relacionadas a la seguridad incluyen :

" Modelo de Seguridad de Windows NT: Permite solamente a losusuarios autentificados accesar los recursos del sistema. El modelo deseguridad incluye componentes para controlar quién accesa objetos (talescomo archivos e impresoras compartidas), las acciones que un individuopuede aplicar sobre cierto objeto y los eventos que le son auditados.

" Sistema de archivos encriptado (Encrypting File System, EFS): Encripta cadaarchivo con una clave generada aleatoriamente. Los procesos de encriptación ydesencriptación son transparentes para el usuario.

" Soporte para seguridad del IP (IPSec): Ayuda a proporcionar capacidades decomercio electrónico protegiendo los datos transmitidos a través de la red. IPSec es una parteimportante de la seguridad de las redes privadas virtuales (virtual private networks, VPNs), lascuales permiten a las organizaciones transmitir datos de manera segura por Internet.

" Soporte para Kerberos: Proporciona autentificación de alto grado y estándar de laindustria con un inicio de sesión rápido y simple para los recursos basados en Windows 2000.Kerberos es un estándar de Internet, lo cual lo hace especialmente efectivo para redes dediferentes sistemas operativos tales como UNIX.

6.2. Seguridad en Novell

Una red local bajo Novell, basa su seguridad en la existencia deun solo server, o sea, un solo lugar donde están físicamente todos losdatos. Al instalarla se toma la precaución de que sólo tenga accesofísico a éste la gente que cumple funciones de supervisión.

El resto se maneja con cuentas que le dan determinadosprivilegios de acceso a ciertas partes de la información, solamente loque necesita para cumplir con su trabajo.

Un problema de seguridad puede pasar principalmente por dos lados: o que un usuarioadquiera privilegios que no le correspondan o que consiga el nombre y el password de un usuariocon más nivel de acceso que él. La primera de las posibilidades implicaría que alguien cambie opor error o a propósito su cuenta en el server. La segunda es más peligrosa, ya que en el caso deque accediera con la cuenta de otro estaría definitivamente desafiando la seguridad del sistemacon malas intenciones. Para esto sólo necesitaría saber el password de algún otro usuario conmás privilegios, ya que los nombres no son secretos. Una medida de seguridad que implementa elsoftware de Novell es la posibilidad de que las passwords estén o no encriptados.



Utilizando el comando del sistema operativo que permite que las passwords no seencripten se podría monitorear la actividad de la red y robar passwords. De todas formas, esto no

es un peligro muy común, ya que habría que utilizar equiposespeciales para captar las señales de los cables de la red yanalizarlas. Obviamente esto se daría solo en casos como deespionaje industrial, los empleados de la empresa difícilmentepuedan tener acceso a este tipo de equipos. Como siempre, lasprincipales fallas en la seguridad se deben a un software malinstalado y no a problemas del mismo software. Netware tiene,apenas se instala, los nombres de usuario GUEST y SUPERVISOR queno tienen passwords.

Esto es así porque la compañía que lo produce piensa que sus clientes tomarán en cuentaque dejarlos o no así es su propia responsabilidad. Si el que instaló la red no se preocupó encambiarlos, esto es un problema grave de seguridad. La cuenta SUPERVISOR puede llegar a serespecialmente peligrosa ya que puede dar acceso total a la red. Otras cuentas que pueden notener password tienen nombres como TAPE, BACKUP, SERVER, REMOTE, CONNECT, NOVELL,etc. Si un usuario puede utilizar SYSCON para obtener una lista de todos los nombres de usuario,quizá encuentre alguna cuenta sin password y la use para sus propios fines.

Algunas de dichas cuentas pueden tener como parte del proceso de entrada al sistema unbatch que ejecuta determinados programas. Por ejemplo, una sistema de backup automático, que

ejecuta los programas necesarios para llevarlo a cabo. Esto esespecialmente peligroso ya que para realizar un backup se debe entrar conprivilegios de supervisor, para que el software permita acceder a toda lainformación de la red. En el caso de que una persona pueda utilizar esacuenta y abortar el batch con control-C, tendría control total sobre elserver.

Existen algunos programas que permitirían a cualquier usuario tener acceso total. Estosestán hechos por hackers, diseñados para entrar ilegalmente a una red Novell, y son un peligropara su seguridad.

6.3. Seguridad en Unix

El sistema operativo UNIX ha servido de modelo para el desarrollo de otros sistemasoperativos, entre otros aspectos en lo referente a la seguridad.

En el diseño de UNIX no se contemplaba la seguridad como un factor prioritario; sinembargo, en el momento en que comenzó a comercializarse y a utilizarse en buen número deempresas, Tanto públicas como privadas (entre ellas el Departamento de Defensa de los EstadosUnidos), la seguridad pasó a ser fundamental y objetivo prioritario de desarrollo.

" Identificación de usuarios: Como en cualquier sistema operativo multiusuario losusuarios tienen un nombre identificativo (login) y una contraseña(password) que deben introducir para acceder al sistema. Una vezdentro del sistema, los usuarios pueden acceder a los recursosdisponibles en función de una serie de permisos. El administrador delsistema, cuyo nombre es root, es el encargado de controlar el sistema,añadir y borrar usuarios, periféricos y conexiones, etc.



" Ficheros de contraseñas: El nombre de acceso, la contraseña cifrada, el identificador deusuario y de grupo, el nombre completo y algunos parámetros de cada usuario se almacenanen el fichero público/etc/passwd, que puede consultarse por cualquier usuario. Por motivos deseguridad, en el Sistema V, a partir de la versión 3.2 inclusive, las contraseñas se puedenalmacenar en un fichero aparte: /etc/shadow, que únicamente debe tener permiso de lecturapara el administrador del sistema.

" Permisos: Cada fichero y directorio en UNIX tiene tres categorías de usuarios asociados: elpropietario, los usuarios que pertenecen a su mismo grupo y el resto de los usuarios. Paracada una de las tres categorías se asignan permisos de lectura, escritura y ejecución. Esfundamental asignar a cada fichero y directorio los permisos que sean estrictamentenecesarios.

" Protección de información: En UNIX se encuentran disponibles diversas utilidades yopciones relacionadas con la seguridad y protección de la información, como la orden cryptque permite cifrar ficheros mediante el algoritmo DES. La clave de cifrado, que será necesariapara el descifrado, se solicita al cifrar un fichero. Los ficheros sólo pueden ser descifrados si seconoce la clave, ni siquiera el administrador puede hacerlo sin ella. No obstante, no serecomienda el uso de esta orden si se trata de información confidencial, puesto que no ofreceel grado de seguridad requerido en tales casos.

" Conexión en Red: La conexión en red necesaria para compartir información entre usuariosde distintos sistemas, también provoca que aumenten los riesgos. El protocolo TCP/IP, enUNIX cuenta con una serie de programas que permiten transferir ficherosentre sistemas, ejecutar órdenes, entrar en una cuenta en un sistemaremoto, etc. Estos programas requieren que en el sistema remoto existaun fichero con el nombre de los sistemas y de los usuarios que tienenpermiso para ejecutarlos, no requiriéndose ninguna contraseña parapoder hacerlo. El contenido de este fichero debe guardarse con cautelapuesto que alguien que lo conociese podría suplantar a un usuarioutilizando el nombre de alguno de los sistemas que aparecen en él. Elprograma FTP es también parte de las aplicaciones TCP/IP y permite entrar en una cuentapara transferir ficheros.

" Control: UNIX no incorpora herramientas sofisticadas de auditoría que permitan controlarqué es lo que ocurre en el sistema. Para ello, normalmente hay que recurrir a algún paqueteque se distribuye aparte.

" Puertas traseras: Un usuario no autorizado puede acceder al sistema aprovechando unpunto débil del sistema operativo, un descuido o desconocimiento de un usuario o una malaadministración del sistema. Todos estos fallos se han corregido, y en la actualidad, se puededecir que es uno de los sistemas más seguros que hay, existiendo incluso algunas versionesespeciales con características de seguridad avanzada. Una serie de herramientas de dominiopúblico y comerciales permite evaluar la seguridad del sistema y descubrir los puntos débilesque puedan dar lugar a problemas en la seguridad. El más conocido entre ellos es quizásCOPS.



7. Seguridad en el Comercio Electrónico

Una definición aproximada de comercio electrónico es : "cualquier forma de transaccióncomercial en la que las partes interactúan electrónicamente en lugar de por intercambio ocontacto físico directo". Esta nueva concepción estan revolucionando los negocios. Existen muchostipos diferentes de amenazas que pueden comprometer la seguridad del comercio electrónico.Para contrarrestar estas amenazas se han desarrollado varios protocolos y aplicaciones usando lastécnicas criptográficas descritas anteriormente. Algunas amenazas a la seguridad y soluciones:

AmenazaAmenazaAmenazaAmenaza Seguridad ySeguridad ySeguridad ySeguridad ysoluciónsoluciónsoluciónsolución

FunciónFunciónFunciónFunción TecnologíaTecnologíaTecnologíaTecnología

Datosinterceptados,leídos omodificadosilícitamente.

Encriptamiento Los datos secodifican paraevitar sualteración.

Encriptamientosimétrico;encriptamientoasimétrico.

Los usuariosasumen otraidentidad paracometer un fraude.

Autentificación Verifica laidentidad delreceptor y emisor.

Firmas digitales.

Un usuario noautorizado en unared obtiene accesoa otra red.

Firewall Filtra y evita quecierto tráficoingrese a la red oservidor.

Firewall; redesvirtuales privadas.

Algunos de los estándares de seguridad para Internet:

EstándarEstándarEstándarEstándar FunciónFunciónFunciónFunción AplicaciónAplicaciónAplicaciónAplicación

Secure HTTP(S-HTTP).

Asegura lastransacciones en elweb.

Exploradores, servidores web,aplicaciones para Internet.

SecureSockets Layer(SSL).

Asegura los paquetesde datos en la capa dela red.

Exploradores, servidores web,aplicaciones para Internet.

Secure MIME(S/MIME).

Asegura los anexos decorreo electrónico enplataformas múltiples.

Paquetes de correo electrónico conencriptamiento RSA y firma digital.

Secure Wide-Area Nets(S/WAN).

Encriptamiento puntoa punto entrecortafuegos yenrutadores.

Redes virtuales privadas.

SecureElectronicTransaction(SET).

Asegura lastransacciones contarjeta de crédito.

Tarjetas inteligentes, servidores detransacción, comercio electrónico.



7.1 PKI

La infraestructura de llave pública (PKI en inglés) se basa en la criptografía de llavepública, cuyos orígenes se remontan al artículo de Diffie y Hellman en 1976, donde se explica laidea revolucionaria de servirse para las operaciones criptográficas de una pareja de llaves, unapública, conocida por todos, y otra privada, sólo conocida por el usuario a quien le es asignada.Un mensaje puede ser cifrado por cualquier persona usando la llave pública, ya que espúblicamente conocida, aunque sólo el poseedor de la llave privada podrá descifrarlo.Recíprocamente, un mensaje cifrado con la llave privada sólo puede ser cifrado por su poseedor,mientras que puede ser descifrado por cualquiera que conozca la llave pública.

Para usar la criptografía de llave pública se necesita generar una llave pública y unaprivada. Usualmente, se hace con el programa que usará la llave, por ejemplo, el explorador webo programa de correo electrónico. Una vez que se han generado las dos llaves, esresponsabilidad suya mantener segura la llave privada y no permitir que alguien la vea.Posteriormente, tiene que decidir cómo distribuir la llave pública a sus receptores. Podría usar elcorreo electrónico para enviar la llave pública a todos sus receptores, pero podría resultar difícilde manejar en caso de que olvide a alguien en la lista de direcciones, o si surgen nuevosreceptores. Esto tampoco permite autentificarse con algún grado de confianza; por ejemplo,alguien podría hacerse pasar por usted, generar un par de llaves y después enviar a los receptoresla llave pública, diciendo que proviene de usted, para posteriormente tener la libertad de hacermensajes usando el nombre de usted.

Los certificados digitales verifican electrónicamente las llaves públicas.

Una manera más adecuada y confiable de distribuir llaves públicas es el uso de unaautoridad de certificación. Una autoridad de certificaciónaceptará la llave pública de usted, junto con ciertaspruebas de su identidad (esto varía con la clase decertificado) y sirve como un depósito de certificadosdigitales. De esta manera, otros pueden solicitar entoncesla verificación de su llave pública a la autoridad decertificación. El certificado digital actúa como una versiónelectrónica de la licencia de un conductor. Como métodoaceptado para distribuir la llave pública, proporciona unprocedimiento para que los receptores puedan verificar queusted es quien dice ser. Las autoridades de certificación,por ejemplo, Verisign, Cybertrust y Nortel, emitencertificados digitales. Como se muestra en la Figura 4-5,un certificado digital incluye el nombre del poseedor, elnombre de la autoridad de certificación, una llave públicapara uso criptográfico, un

límite de tiempo para usar el certificado (la mayoría de las veces,de seis meses a un año), la clase del certificado y el número deidentificación del certificado digital.

La emisión de un certificado digital puede ser de cuatroclases, indicando hasta qué grado se ha verificado al poseedor.La Clase 1 es la más fácil de obtener, ya que involucra el menornúmero de verificaciones de los antecedentes del usuario: sólo severifican el nombre y dirección de correo electrónico. En el casodel certificado de Clase 2, la autoridad emisora verifica una



licencia de conducir, un número de seguro social y una fecha de nacimiento. Los usuarios quesolicitan un certificado de Clase 3 pueden esperar que la autoridad emisora ejecute unaverificación de crédito (usando un servicio como Equifax), además de la información requeridapara un certificado de Clase 2. Un certificado de Clase 4 incluye información acerca de laposición de la persona dentro de una organización, pero los requerimientos de verificación paraestos certificados todavía no han sido formalizados.

7.2. Seguridad para aplicaciones del web: S-HTTP y SSL.

La seguridad de las aplicaciones para web gira en torno a dos protocolos, Secure HTTP ySecure Sockets Layer, que proporcionan autentificación para servidores y navegadores, así comoconfidencialidad e integridad de los datos para las comunicaciones entre un servidor web y unnavegador. S-HTTP está diseñado específicamente para soportar el protocolo de transferencia dehipertexto (HTTP), proporcionando la autorización y seguridad de los documentos. SSL ofrecemétodos de protección similares, pero asegura el canal de comunicaciones al operar más abajoen la pila de red (entre la capa de la aplicación y las capas de red y transporte TCP/IP).

S-HTTP asegura los datos, mientras SSL asegura el canal de las comunicaciones. SSL sepuede usar para otras transacciones, pero no está diseñado para manejar decisiones deseguridad basadas en autentificación a nivel de documento o aplicación..

7.3. Seguridad para correo electrónico: PEM, S/MIME y PGP.

Se ha propuesto una variedad de protocolos de seguridad para el correo electrónico enInternet, pero sólo uno o dos han recibido cierto uso extendido. El correo enriquecido concarácter privado (PEM-Privacy-enhanced mail) es un estándar de Internet para asegurar al correo

electrónico usando llaves públicas o simétricas. El uso de PEM hadescendido, ya que no está diseñado para manejar el modernocorreo electrónico de multipartes soportado por MIME, además deque requiere una jerarquía rígida de autoridades de certificaciónpara emitir llaves.

Secure MIME (S/MIME) es un estándar más nuevo que se hapropuesto; usa muchos de los algoritmos criptográficos patentados ycuyas licencias corresponden a RSA Data Security Inc. S/MIMEdepende de certificados digitales, por ello también depende de algúntipo de autoridad de certificación, ya sea corporativa o global, paraasegurar la autentificación.

Pretty Good Privacy (PGP) es una aplicación popular desarrollada para asegurar losmensajes y archivos, también se le conoce como. Probablemente sea la aplicación de seguridadpara correo electrónico en Internet más usada; emplea una variedad de estándares deencriptamiento. Las aplicaciones para encriptamiento/desencriptamiento PGP están disponibles demanera gratuita para la mayoría de los sistemas operativos importantes; así, los mensajes sepueden encriptar antes de usar un programa de correo electrónico. Algunos programas de correo,como Eudora Pro, Qualcomm y OnNET, de FTP Software, pueden usar módulos conectoresespeciales de PGP para manejar correo encriptado. PGP se diseñó alrededor del concepto de unared de confianza que permitía a los usuarios compartir sus llaves, sin requerir una jerarquía deautoridades de certificación.



8.Plan de Contingencia

Un plan de contingencia o plan de recuperación en caso de desastre es una guía para larestauración rápida y organizada de las operaciones de computo después de una suspensión. Losobjetivos de dicho plan son los de restablecer, lo más pronto posible, elprocesamiento de aplicaciones criticas (aquellas necesarias para larecuperación) para posteriormente restaurar totalmente el procesamientonormal. Un plan de contingencia no duplica un entorno comercial normal (enforma inmediata), pero si minimiza la pérdida potencial de archivos y mantienea la empresa operando, al tomar acciones decisivas basadas en la planeaciónanticipada.

Utilidad del Plan de Contingencia

Un plan de contingencia completo mitigará los efectos de esos desafortunados desastres ypermitirá una respuesta rápida, una transferencia del procesamiento crítico a otras instalaciones, yuna eventual recuperación.

La preparación de un plan de contingencia da a los directivos de una empresa unaexcelente oportunidad para aliviar o minimizar problemaspotenciales que, en un momento dado, podrían interrumpir elprocesamiento de datos. Razón por la cual es necesario tomarconciencia de la importancia vital de la confección de dicho plan.Si durante la preparación de un plan de contingencia seidentifican y documentan las funciones criticas, se desarrolla unmétodo formal de respuesta a las emergencias, y se llevan a caboprocedimientos de respaldo y recuperación, la continuidad y elbienestar del funcionamiento del centro de cómputo en el futuromejoraran. Al considerar los planes de contingencia, se necesita delinear cuidadosamente losdistintos tipos de desastre que pueden ocurrir:

! Destrucción completa de los recursos centralizados de procesamiento de datos.! Destrucción parcial de los recursos centralizados de procesamiento de datos.! Destrucción o mal funcionamiento de los recursos ambientales destinados al centro de

procesamiento de datos.! Destrucción total o parcial de los recursos descentralizados de procesamiento de datos.

Destrucción total o parcial de los procedimientos manuales del usuario, utilizados para lacaptura de la información de entrada para los sistemas de computo.

! Pérdida del personal clave! Interrupción por huelga

Alcance del Plan de Contingencias

La planeación contra contingencias debe abarcar tanto las aplicaciones en proceso dedesarrollo como las operativas. En el caso de las ultimas, existen ciertas áreas que necesitanprotección en caso de desastre o ciertos recursos que deben estar disponibles para larecuperación:



! Documentación de los sistemas, la programación y las operaciones.! Recursos de procesamiento que incluyen:

1. Todo tipo de equipo2. Ambiente para el equipo3. Datos y archivos4. Programas5. Papelería

Los procedimientos de planificación contra desastres tendrán que definir en formadetallada los arreglos que se hagan para cada caso, la organización y las responsabilidades paraaplicarlos y un marco de trabajo para la iniciación y aplicación paso por paso de losprocedimientos de recuperación.

Procedimientos de Emergencia

El recurso o más valioso de la compañía es su personal, y hacia la preservación de esasvidas deben estar destinadas las medidas de seguridad, y de todos los procedimientos fijados enel plan de contingencia; sobre este aspecto se considera primordial instruir o educar previamenteal personal, de forma tal que puedan hacer frente a diversas circunstancias, tales comoevacuación, uso de los extintores y la manera de proceder ante una emergencia; capacitación yentrenamiento de determinados funcionarios y empleados en técnicas y medidas de seguridadespecificas, a los efectos de dirigir el accionar del resto del personal.

La importancia de diseñar tales procedimientos radica en la preparación de un plan decontingencia contra un paro total en el procesamiento de datos, también es importante hacerplanes para manejar incidentes "menores". Un pequeño fuego o fuga de agua, o robo, puederápidamente adquirir mayores proporciones a menos que se tomen medidas previamenteplaneadas. Que tan bien pueda reaccionar una compañía cuando ocurren pequeños accidentes,depende de las medidas que se hayan desarrollado con anterioridad. Por esto, es importante queel personal del centro de cómputo este preparado para actuar con rapidez ante cualquierincipiente contingencia que pueda llegar a presentarse.

Deben diseñarse procedimientos no muy extensos ni detallados excesivamente. Puedenutilizarse diagramas para representar estos procedimientos dentro del manual del plan decontingencia, ya que harán más fácil su entendimiento. Deben estar representados de modo talque cualquier persona, aun sin haberlos visto antes, pueda ejecutarlos.



9. Plan de Seguridad de la Información

Los conceptos anteriormente vertidos en forma aislada son los elementos principales paraestablecer Planes de Seguridad Informáticos para que en forma integrada puedan garantizar laconfidencialidad, integridad y disponibilidad de la información que se intercambia, reproduce yconserva mediante el uso de las tecnologías de información.

El Plan de Seguridad Informática es un documento en el cual se establecen los principiosorganizativos y funcionales de la Seguridad Informática en un organización a partir de un sistemade medidas aprobado en base a los análisis de riesgo e identificación de amenazas en el Sistemade Información.

Un plan de Seguridad Informática contiene:

Objetivos: Los objetivos del Plan de Seguridad Informática, quedarán definidos alhacer constar cuales son los activos informáticos que deben protegerse y de quédeben protegerse.

Alcance: Expresará el radio de acción que abarca el Plan, estableciendo unademarcación clara de los activos informáticos y locales objeto de protección, para loscuales fueron determinados los riesgos y diseñado el sistema de medidas.

Caracterización: resumen de la caracterización realizada al sistema informático de laorganización que permitió identificar los objetivos, refiriéndose a: ∗ Estructura de gestión de la actividad informática.∗ Características generales del sistema informático, y el impacto del mismo para la

entidad.∗ Características del procesamiento de la información clasificada y sensible, a través de

las tecnologías de información.∗ Diagrama de flujo de información que ilustre la relación interna y externa, así como los

medios que utilizan para procesar la misma y topología de las redes de transmisión dedatos con que cuentan.

∗ Resultado del análisis de riesgo y vulnerabilidad realizado.

Sistema de Medidas para la Seguridad Informática : mencionaremos:

Medidas Administrativas y Organizativas: Se expresarán las medidas queson de competencia de la dirección de la entidad y de obligatorio cumplimientopor todo el personal, que comprenden: Clasificación de la información, Personal yResponsabilidades

Medidas de Seguridad Físicas: Se relacionarán las áreas a proteger,especificando en caso que se consideran áreas vitales o reservadas, endependencia si procesan información clasificada o sensible. Se describirán lascondiciones constructivas y características físicas del local desde el punto de vistade seguridad (piso, paredes, puertas y ventanas , etc.). Se describirá el sistema deautorización de acceso a los locales especificando los criterios para otorgar lapermanencia de personas en los mismos, se reflejará el cargo y los datos



generales de las personas facultadas para otorgar este acceso. Además, sedescribirá el sistema de identificación para los trabajadores de la entidad, los quese encuentren en prestación de servicios o visitantes así como la entrada y salidade las tecnologías de información a través de los mismos y el sistema de control.

Medidas de Seguridad Técnica o Lógica: Se especificarán las medidas deseguridad que se establezcan, cuya Implementación se realice a través desoftware, hardware o ambas. Se describirá el mecanismo de identificación yautenticación de los usuarios con acceso a los sistemas, especificando como seimplementan a nivel de Sistema Operativo y de aplicaciones. Mecanismos deseguridad establecidos para evitar la modificación, destrucción y consistencia delos ficheros y datos, especificando cuando estos se implementan a nivel de SistemaOperativo, aplicación o ambos. Se describirán las medidas establecidas paraprotegerse contra programas dañinos que puedan afectar los sistemas enexplotación.Se consignarán los sistemas de protección criptográficos que se utilizan y con quéfin son utilizados.Se describirá y graficará la estructura de seguridad adoptada en la conexión aINTERNET, especificando las políticas y mecanismos de filtrado establecidos paraocultar la red interna de INTERNET; así comolos mecanismos de seguridad aplicados a losdistintos servicios disponibles (SMTP, WWW).

Medidas de Seguridad de Operaciones:Se relacionarán los criterios adoptadas paraseleccionar los mecanismos de seguridadconvenientes, así como para verificar sus nivelesde efectividad y protección continua.

Incluye las medidas que se establecen para garantizar que los mantenimientos delos equipos, soportes y datos, se realice en presencia y bajo la supervisión depersonal responsable y que en caso del traslado del equipo fuera de la entidad lainformación clasificada o sensible sea borrada físicamente o protegida su nodivulgación. Medidas para garantizar el control sobre la entrada y salida en laentidad de tecnologías de la información (máquinas portátiles, soportes etc.) asícomo el uso para el que están destinadas.

Medidas educativas y de concientización: Todas las medidas que seestablecen para dar a conocer al personal la existencia de un sistema deseguridad informática en el cual les corresponde una forma de actuar. Se tendránen cuenta las sanciones administrativas que puedan aplicarse al personal que violala seguridad informática.

Esta Plan responde a la relación que debe garantizar un Sistema de Seguridad Informáticaentre políticas de Seguridad y procedimientos de implantación de las anteriores, lo que permitegarantizar la auditabilidad del mismo, propiedad indispensable para garantizar un sistema deinformación confiable.

Este Plan incluye un conjunto de procedimientos, glosario de términos usados. Este Plandebe ser aprobado al mas alto nivel y revisado en forma periódica por el responsable deSeguridad de la información.



10. Auditoria de la Seguridad Informática comoElemento De Control

La auditoria a la seguridad informática es el proceso de verificación y control mediante lainvestigación, análisis, comprobación y dictamen del conjunto de medidas administrativas,organizativas, físicas, técnicas, legales y educativas dirigidas a prevenir,detectar y responder a las acciones que pongan en riesgo laconfidencialidad, integridad y disponibilidad de la información que seprocese, intercambie, reduzca y conserve a través de las tecnologías deinformación.

Objetivo:

El objetivo de la auditoria a la Seguridad Informática es detectarfisuras o puntos vulnerables en el sistema informático que ponga enriesgo la seguridad de la información y de las tecnologías empleadas para su procesamientocomo base para la elaboración de un diagnostico.

Funciones:

! Analizar las políticas de seguridad informática, adoptadas en la entidad para garantizar laconfidencialidad, integridad y disponibilidad de la información que se procesa.

! Analizar y comprobar el funcionamiento y eficacia del sistema de medidas de seguridadinformática implantado en la entidad.

! Detectar fisuras o puntos vulnerables en el funcionamiento del sistema informático y el sistemade medidas de seguridad que pueda propiciar causasy condiciones para la comisión de delitos.

! Valorar la factibilidad del sistema de medidas deseguridad en correspondencia con la caracterizacióndel sistema informático.

La auditoria a la seguridad informática se puederealizar a todos los órganos y organismos de laadministración central del estado y sus dependencias,otras entidades estatales, empresas mixtas, sociedades y asociaciones económicas que seconstituyen conforme a la ley, que utilicen tecnologías de la información, abarcando el control deaquello que actúa sobre una causa para reducir los riesgos o minimizar las causas de riesgo.

Etapas

Etapas para la realización de la auditoria:

! Planificación de la auditoria: En esta etapa se planificará el trabajo a desarrollar,elaborando un cronograma con todos los pasos a realizar y los objetivos a lograr.



! Desarrollo de la auditoria: La auditoria a la Seguridad Informática se divide a su vez entres etapas:! Investigación preliminar! Verificación de la Seguridad Informática aplicada! Comprobación con el empleo de herramientas informáticas.

Investigación preliminar

Esta etapa persigue:

1. Conocer los objetivos y alcances del sistema de información establecido en la entidad objetode auditoria

2. Obtener la información necesaria sobre la caracterización (organización, recursos, personal,documentación existente sobre el objeto social, las dependencias y otros aspectos de interés aauditar)

3. Realizar una pormenorizada revisión de los resultados de auditorias informáticas y deseguridad anteriores o controles específicos de seguridad u otrasactas o documentos, con el fin de obtener la mayor informaciónen el menor tiempo posible sobre los principales problemas quehan afectado esta entidad y que evidencien debilidades en elcontrol interno.4. Emplear el uso de cuestionario para la recopilación de lainformación con el propósito de obtener una orientación generalsobre la seguridad informática de la entidad.5. Determinar los bienes informáticos mas importantes para laentidad de acuerdo a su costo beneficio.

6. Clasificación de los activos en función de su importancia y los problemas que trae a la entidadsu revelación, modificación o destrucción.

7. Confeccionar tablas que permitan determinar dentro de los activos informáticos los riesgosexistentes, ya sean de carácter administrativos, organizativos, técnicos, legales oespecíficamente informáticos que determinen la vulnerabilidad de los activos.

8. Obtener los manuales de explotación y de usuario de los sistemas de las áreas odependencias y efectuar un examen pormenorizado de estos, para conocer el sistema y laauditabilidad para la seguridad del mismo.

Verificación de la Seguridad Informática aplicada

Esta etapa consiste de forma general en la revisión y comprobación del cumplimiento delas normas y procedimientos de Seguridad Informática de la entidad. Se utilizaran loscuestionarios como herramienta de auditoria a la Seguridad Informática con el fin de obtener unaorientación general sobre este tema.



11. Bibliografía

# La Seguridad Totalhttp://members.xoom.com/segutot/la.htm

# Las Tecnologías de la Información y sus Efectos en la Sociedadhttp://www.prosol.es/Main/VCCE/TIES2.htm

# Asuntos Relativos a la Tecnología de Información y Comunicacioneshttp://www.idrc.ca/books/837/Chap2.htm

# Amenazas Deliberadas a la Seguridad de la Informaciónhttp://www.iec.csic.es/criptonomicon/amenazas.html

# Esteganografíahttp://www.arnal.es/free/cripto/estega/estegind.htm

# Biometríahttp://www.ast-afis.com/es/es-ID1.htm

# Seguridad en una Red Novellhttp://www.ubik.to/VR/04/novell.html

# Seguridad en Unixhttp://www.geocities.com/SiliconValley/Bit/7123/unix.htm#UNIX.

# Comercio Electrónicohttp://www.microsoft.com/latam/technet/hoy/comercio/art03/art039.asp

# La Seguridad Informática en las Redeshttp://www.geocities.com/SiliconValley/Bit/7123/la.htm

# Crimen y Castigo en el Ciberespaciohttp://skyscraper.fortunecity.com/graphical/472/crimen.html

# Por qué son Inseguras las Computadorashttp://www.kriptopolis.com/criptograma/0019_1.html

# Plan de Seguridad Informática Experiencias en su desarrollo, Ministerio del Interior de Cuba

# Metodología para realizar Auditorias a la Seguridad Informática Ministerio del Interior deCuba

seguridad/conceptos... · 2014. 11. 6. · sistemas operativos y biometria entre otros. otro...

Documents