Upload
yoselin-guevara
View
7
Download
0
Embed Size (px)
DESCRIPTION
SEGURIDAD INFORMATICA
Citation preview
2014
AUDITORÍA DE TECNOLOGÍAS DE LA INFORMACIÓN
SEGURIDAD INFORMÁTICA
PROFESOR:
Pastor Carrasco, Carlos Alberto
ALUMNAS:
Asencios Loarte, Claudia. 11110377
Guevara Camacho, Yoselin. 11110334
Omonte Tello, Anali. 11110278
Soto Mejía, Patricia . 11110291
TiconaCoarite, Bertha . 11110292
AULA: 312 – N
Universidad Nacional Mayor de San Marcos
Facultad de ciencias Contables
Seguridad Informática 2014
DEDICADO A: Nuestros profesores
porque son guías en el aprendizaje,
brindándonos los actuales conocimientos
para nuestro buen desenvolvimiento en la sociedad y a nuestros padres maravillosos,
quienes nos apoyan en
1
Seguridad Informática 2014
INTRODUCCIÓN
En un mundo interconectado, es necesario buscar un equilibrio entre
disfrutar la comodidad que ofrecen las tecnologías de la información y
minimizar las oportunidades que su uso les ofrece a los delincuentes
cibernéticos, quienes pueden, por ejemplo, difundir amenazas complejas
explotando los populares dispositivos móviles y las aplicaciones en la nube
para infiltrarse en blancos de alto valor y han convertido el espacio cibernético
en un medio para victimizar al público.
El acceso no autorizado a una red informática o a los equipos que en
ella se encuentran puede ocasionar en la gran mayoría de los casos graves
problemas.
Para lograr sus objetivos la seguridad informática se fundamenta en tres
principios, que debe cumplir todo sistema informático:
Confidencialidad: Se refiere a la privacidad de los elementos de
información almacenados y procesados en un sistema informático. Basándose
en este principio, las herramientas de seguridad informática deben proteger el
sistema de invasiones y accesos por parte de personas o programas no
autorizados.
Integridad: Se refiere a la validez y consistencia de los elementos de
información almacenados y procesador en un sistema informático. Basándose
en este principio, las herramientas de seguridad informática deben asegurar
que los procesos de actualización estén bien sincronizados y no se dupliquen.
Disponibilidad: Se refiere a la continuidad de acceso a los elementos de
información almacenados y procesados en un sistema informático. Basándose
en este principio, las herramientas de seguridad informática deber reforzar la
permanencia del sistema informático, en condiciones de actividad adecuadas
para que los usuarios accedan a los datos con la frecuencia y dedicación que
requieran.
En el presente trabajo monográfico hablaremos sobre la importancia de
seguridad informática, haremos referencias sobre a las formas que existen para
2
Seguridad Informática 2014
proteger los sistemas informáticos y la información que contienen sobre
accesos no autorizados, daños, modificaciones o destrucciones.
INDICE
1. Concepto, principios y Objetivos 4
2. Amenazas 72.1Ingeniería Social 92.2Tipos de amenaza 92.3Amenaza informática del futuro 11
3. Análisis de riesgos 113.1 Elementos de un análisis de riesgo 12
4. Análisis de impacto al negocio 28
5. Puesta en marcha de una política de seguridad 29
6. Técnicas para asegurar el sistema 30 6.1 Respaldo de información 42
6.2 Protección contra virus 446.2.1 Control del software instalado6.2.2 Control de la red
6.3 Protección física de acceso a las redes 496.3.1 Redes cableadas6.3.2 Redes inalámbricas
6.4 Sanitización 50
7. Algunas afirmaciones erróneas comunes acerca de la seguridad 50 8. Actores que amenazan la seguridad 52
9. Medios de transmisión de ataques a los sistemas de seguridad 61
10. Organismos oficiales de seguridad informática 63
11. Conclusiones 68
12. Recomendaciones 70
13. Anexos 72
3
Prevencion de divulgaciòn no autorizada de los datos.
confidencialidad
Prevencion de modificaciones no autorizadas a los datos.
IntegridadPrevencion de interrupciones no autorizadas de los recursos informaticos
Disponibilidad
Seguridad Informática 2014
13. Referencias 79
SEGURIDAD INFORMÁTICA
1. Concepto, principios y Objetivos.
La seguridad informática o seguridad de tecnologías de la información es el
área de la informática que se enfoca en la protección de la infraestructura
computacional y todo lo relacionado con esta y, especialmente, la información
contenida o circulante.
Para ello existen una serie de estándares, protocolos, métodos, reglas,
herramientas y leyes concebidas para minimizar los posibles riesgos. Para
poder empezar a analizar la seguridad debemos conocer los principales
objetivos de la seguridad.
4
Seguridad Informática 2014
Cuadro Nª 1 - Fuente: Elaboración Propia.
Para poder alcanzar estos objetivos la empresa debe contar con
procedimientos de seguridad de información adecuados, formalmente definidos
y ampliamente divulgados.
1.1 Concepto.
Existen diferentes definiciones de Seguridad Informática tales como:
a. Seguridad informática surgen como una herramienta organizacional para
concientizar a cada uno de los miembros de una organización sobre la
importancia y la sensibilidad de la información y servicios críticos que
favorecen el desarrollo de la organización y su buen funcionamiento.
(Manual de Seguridad en Redes de la Administración Pública Argentina,
2011).
b. La seguridad informática puede definirse como el conjunto de reglas,
planes y acciones que permiten asegurar la información contenida en un
sistema computacional o la capacidad de mantener intacta y protegida la
información de sistemas informáticos, permitiendo asegurar que los
recursos del sistema de información generalmente (material informático
o programas) de una organización sean utilizados de manera que no sea
fácil de acceder por cualquier persona que no se encuentre acreditada.
(Conferencias de Seguridad Informática, 2012).
c. La seguridad informática puede ser definida, básicamente, como la
preservación de la confidencialidad, la integridad y la disponibilidad de
los sistemas de información. (Departamento de Sistemas y Computación
Instituto Tecnológico de Morelia, 2010).
d. Seguridad Informática: Conjunto de soluciones Técnicas, Organizativas,
Legales y Educativas al problema, con el fin de minimizar los Riesgos y
los Costos (dinero, tiempo, recursos) que acarrean la pérdida, la
5
Seguridad Informática 2014
modificación y la propagación no deseada de información de alto valor
para su poseedor. (Curso de Seguridad Informática de la Entidad
Seguridad del Ministerio de Informática y Comunicaciones de Cuba,
2012).
De los anterior, se puede extraer que la seguridad Informática es el conjunto
de medidas (administrativas, organizativas, físicas, técnicas legales y
educativas) con un enfoque integral y en sistema, dirigidas a prevenir, detectar
y responder a las acciones que pongan en riesgo la integridad, confidencialidad
y disponibilidad, de la informatización que se procesa, intercambie, reproduzca
o conserve a través de las tecnologías informáticas.
Cuadro Nª 2 - Fuente: Seguridad como encargo social- Wikipedia.
Además; hay que tener en cuenta que el concepto de seguridad de la
información no debe ser confundido con el de «seguridad informática», ya que
este último solo se encarga de la seguridad en el medio informático, pero la
información puede encontrarse en diferentes medios o formas, y no solo en
medios informáticos.
6
Seguridad Informática 2014
1.2 Principios - Normas.
La seguridad informática es la disciplina que se ocupa de diseñar las normas;
al establecer normas que minimicen los riesgos a la información o
infraestructura informática se pueden incluir horarios de funcionamiento,
restricciones a ciertos lugares, autorizaciones, denegaciones, perfiles de
usuario, planes de emergencia, protocolos y todo lo necesario que permita un
buen nivel de seguridad informática minimizando el impacto en el desempeño
de los trabajadores y de la organización en general y como principal
contribuyente al uso de programas.
1.3 Objetivos
Las medidas y controles se aseguran la confidencialidad, integridad, etc;
analizando este aspecto los objetivos son:
Gráfico Nª 3 - Fuente: Seguridad como encargo social- Wikipedia.
a. Confidencialidad: Consiste en la capacidad de garantizar que la
informacion almacenada en el sistema informatico o transmitida por la
7
Seguridad Informática 2014
red, solamente va a estar disponible para aquellas personas autorizadas
a acceder a dicha informacion.
b. Disponibilidad: La definiremos como la capacidad de garantizar que
tanto el sistema como los datos van a estar disponibles al usuario en
todo momento.
c. Integridad: Diremos que es la capacidad de garantizar que los datos no
han sido modificados desde su creacion sin autorizacion.
d. No Repudio: Este objetivo garantiza la participacion de las partes en
una comunicación.
2. Amenazas.
Algunos hechos de importancia dentro de la seguridad informática son las
amenazas al sistema; partiremos del hecho que, en la mayoría de casos, los
usuarios de los sistemas son inconscientes de los riesgos a los que exponen la
información. A veces por desconocimiento o desobediencia, los usuarios
hacen procedimientos no autorizados peligrosos, y no logran comprender el
impacto del posible daño que pueden causar, es por eso que en esta área,
debe trabajarse contantemente.
Las directivas, procedimientos y concientización es esencial para estar al tanto
de las amenazas; para que puedan ser aplicadas en cualquier posible
escenario y en las distintas plataformas, marcas o tipos de sistemas que se
tengan en la organización. A continuación veamos la manera de enfrentar las
amenazas en las organizaciones.
Las amenazas pueden ser causadas por:
a. Usuarios: causa del mayor problema ligado a la seguridad de un
sistema informático. En algunos casos sus acciones causan problemas
de seguridad, si bien en la mayoría de los casos es porque tienen
8
Seguridad Informática 2014
permisos sobre dimensionados, no se les han restringido acciones
innecesarias, etc.
b. Programas maliciosos: programas destinados a perjudicar o a hacer
un uso ilícito de los recursos del sistema. Es instalado (por inatención o
maldad) en el ordenador, abriendo una puerta a intrusos o bien
modificando los datos.
c. Errores de programación: La mayoría de los errores de programación
que se pueden considerar como una amenaza informática es por su
condición de poder ser usados como exploits por los crackers, aunque
se dan casos donde el mal desarrollo es, en sí mismo, una amenaza.
d. Intrusos: persona que consiguen acceder a los datos o programas a los
cuales no están autorizados.
e. Un siniestro (robo, incendio, inundación): una mala manipulación o
una mala intención derivan a la pérdida del material o de los archivos.
f. Personal técnico interno: técnicos de sistemas, administradores de
bases de datos, técnicos de desarrollo, etc. Los motivos que se
encuentran entre los habituales son: disputas internas, problemas
laborales, despidos, fines lucrativos, espionaje, etc.
g. Fallos electrónicos ológicos: de los sistemas informáticos en general.
h. Catástrofes naturales: rayos, terremotos, inundaciones, rayos
cósmicos, etc.
2.1 Ingeniería Social.
Existen diferentes tipos de ataques en Internet como virus, troyanos u otros,
dichos ataques pueden ser contrarrestados o eliminados pero hay un tipo de
ataque, que no afecta directamente a los ordenadores, sino a sus usuarios,
conocidos como “el eslabón más débil”.
Dicho ataque es capaz de conseguir resultados similares a un ataque a través
de la red, saltándose toda la infraestructura creada para combatir programas
maliciosos. Además, es un ataque más eficiente, debido a que es más
complejo de calcular y prever.
9
Amenazas internas
Generalmente estas amenazas pueden ser
más serias que las externas.
Los usuarios o personal técnico, conocen la red y
saben cómo es su funcionamiento, ubicación de la información, etc. Por
ello la seriedad de la amenaza.
Amenazas externas
Son aquellas amenazas que se originan fuera de la red. Al no tener
información certera de la red, un atacante tiene que realizar ciertos
pasos para poder conocer y buscar la manera de atacarla.
La ventaja que se tiene en este caso es que el
administrador de la red puede prevenir una buena
parte de los ataques externos.
Seguridad Informática 2014
Se pueden utilizar infinidad de influencias psicológicas para lograr que los
ataques a un servidor sean lo más sencillo posible, ya que el usuario estaría
inconscientemente dando autorización para que dicha inducción se vea
finiquitada hasta el punto de accesos de administrador.
2.2. Tipos de amenaza.
Existen infinidad de modos de clasificar un ataque y cada ataque puede recibir
más de una clasificación.
2.2.1 Amenazas por el origen.
El hecho de conectar una red a un entorno externo nos da la posibilidad de que
algún atacante pueda entrar en ella, con esto, se puede hacer robo de
información o alterar el funcionamiento de la red. Sin embargo el hecho de que
la red no esté conectada a un entorno externo, como Internet, no nos garantiza
la seguridad de la misma. Basado en el origen del ataque podemos decir que
existen dos tipos de amenazas:
10
Seguridad Informática 2014
Cuadro Nº 4 - Fuente: Elaboración Propia.
2.2.2 Amenazas por el efecto.
El tipo de amenazas por el efecto que causan a quien recibe los ataques podría
clasificarse en:
Robo de información.
Destrucción de información.
Anulación del funcionamiento de los sistemas o efectos que tiendan a
ello.
Suplantación de la identidad, publicidad de datos personales o
confidenciales, cambio de información, venta de datos personales, etc.
2.2.3 Amenazas por el medio utilizado.
Se pueden clasificar por el modus operandi del atacante, si bien el efecto
puede ser distinto para un mismo tipo de ataque. Los virus informáticos que
tienen por objeto alterar el normal funcionamiento de la computadora, sin el
permiso o el conocimiento del usuario.
Los virus, habitualmente, reemplazan archivos ejecutables por otros infectados
con el código de este; se pueden destruir, de manera intencionada, los datos
almacenados en una computadora.
2.3 Amenaza informática del futuro.
Si en un momento el objetivo de los ataques fue cambiar las plataformas
modalidad es manipular los certificados que contienen la información digital.
Las amenazas informáticas que vienen en el futuro ya no son con la inclusión
11
Seguridad Informática 2014
de troyanos en los sistemas o software espías, sino con el hecho de que los
ataques se han profesionalizado y manipulan el significado del contenido
virtual.
Para no ser presa de esta nueva ola de ataques más sutiles, se recomienda:
Mantener las soluciones activadas y actualizadas.
Evitar realizar operaciones comerciales en computadoras de uso público
o en redes abiertas.
Verificar los archivos adjuntos de mensajes sospechosos y evitar su
descarga en caso de duda.
3. GESTIÓN DE RIESGO EN LA SEGURIDAD INFORMÁTICA
La Gestión de Riesgo es un método para determinar, analizar, valorar y
clasificar el riesgo, para posteriormente implementar mecanismos que permitan
controlarlo.
Cuadro Nº 5 - Fuente: Elaboración Propia.
En su forma general contiene cuatro fases:
Gestión de
riesgo
Análisis de riesgo
Clasificación de riesgo
Reducción de riesgo
Control de riesgo
12
Seguridad Informática 2014
Análisis: Determina los componentes de un sistema que requiere
protección, sus vulnerabilidades que lo debilitan y las amenazas que lo
ponen en peligro, con el resultado de revelar su grado de riesgo.
Clasificación: Determina si los riesgos encontrados y los riesgos
restantes son aceptables.
Reducción: Define e implementa las medidas de protección. Además
sensibiliza y capacita los usuarios conforme a las medidas.
Control: Analiza el funcionamiento, la efectividad y el cumplimiento de
las medidas, para determinar y ajustar las medidas deficientes y
sanciona el incumplimiento.
Todo el proceso está basado en las llamadas políticas de seguridad, normas y
reglas institucionales, que forman el marco operativo del proceso, con el
propósito de
Potenciar las capacidades institucionales, reduciendo la vulnerabilidad y
limitando las amenazas con el resultado de reducir el riesgo.
Orientar el funcionamiento organizativo y funcional.
Garantizar comportamiento homogéneo.
Garantizar corrección de conductas o prácticas que nos hacen
vulnerables.
Conducir a la coherencia entre lo que pensamos, decimos y hacemos.
3.1 Análisis de riesgo
El primer paso en la Gestión de riesgo es el análisis de riesgo que tiene como
propósito determinar los componentes de un sistema que requieren protección,
sus vulnerabilidades que los debilitan y las amenazas que lo ponen en peligro,
con el fin de valorar su grado de riesgo.
Clasificación y Flujo de Información:
13
Seguridad Informática 2014
Cuadro Nº 6 - Fuente: Elaboración Propia.
La clasificación de datos tiene el propósito de garantizar la protección de datos
personales y significa definir, dependiendo del tipo o grupo de personas
internas y externas, los diferentes niveles de autorización de acceso a los datos
e informaciones. Considerando el contexto de nuestra misión institucional,
tenemos que definir los niveles de clasificación como por ejemplo: confidencial,
privado, sensitivo y público. Cada nivel define por lo menos el tipo de persona
que tiene derecho de acceder a los datos, el grado y mecanismo de
autenticación.
Una vez clasificada la información, tenemos que verificar los diferentes flujos
existentes de información internos y externos, para saber quiénes tienen
acceso a qué tipo de información y datos.
Clasificar los datos y analizar el flujo de la información a nivel interno y externo
es importante, porque ambas cosas influyen directamente en el resultado del
análisis de riesgo y las consecuentes medidas de protección. Porque solo si
sabemos quiénes tienen acceso a qué datos y su respectiva clasificación,
Confidencial (acceso restringido: personal interno autorizado)Privado (acceso restringido: personal interno)Sensitivo (acceso controlado: personal interno, público externo con permiso)Público
Identificar tipo de datos e información
y clasificarlo
Observar cúales instancias manejan la información.Identificar grupos externos que dependen o están interesados en la información.Determinar si se deben efectuar cambios en el manejo de la información.
Análisis de flujo de información
14
Seguridad Informática 2014
podemos determinar el riesgo de los datos, al sufrir un daño causado por un
acceso no autorizado.
Cuadro Nº 7 - Fuente: Internet.
Existen varios métodos de como valorar un riesgo y al final, todos tienen los
mismos retos las variables son difíciles de precisar y en su mayoría son
estimaciones y llegan casi a los mismos resultados y conclusiones.
En el ámbito de la Seguridad Informática, el método más usado es el Análisis
de Riesgo. La valoración del riesgo basada en la fórmula matemática:
Para la presentación del resultado (riesgo) se usa una gráfica de dos
dimensiones, en la cual, el eje-x (horizontal, abscisa) representa la
“Probabilidad de Amenaza” y el eje-y (vertical, ordenada) la “Magnitud de
Daño”. La Probabilidad de Amenaza y Magnitud de Daño pueden tomar
condiciones entre Insignificante (1) y Alta (4). En la práctica no es necesario
asociar valores aritméticos a las condiciones de las variables, sin embargo
facilita el uso de herramientas técnicas como hojas de cálculo.
Riesgo = Probabilidad de Amenaza x Magnitud de Daño
15
Seguridad Informática 2014
El reto en la aplicación del método es precisar o estimar las condiciones
(valores) de las dos variables. Sin embargo, el análisis de riesgo nos permite
ubicar el riesgo y conocer los factores que influyen, negativa o positivamente
en el riesgo.
En el proceso de analizar un riesgo también es importante reconocer que cada
riesgo tiene sus características:
Dinámico y cambiante (Interacción de Amenazas y Vulnerabilidad)
Diferenciado y tiene diferentes caracteres (caracteres de Vulnerabilidad)
No siempre es percibido de igual manera entre los miembros de una
institución que tal vez puede terminar en resultados inadecuados y por
tanto es importante que participan las personas especialistas de los
diferentes elementos del sistema (Coordinación, Administración
financiera, Técnicos, Conserje, Soporte técnico externo etc.)
Entre más alta la Probabilidad de Amenaza y Magnitud de Daño, más grande
es el riesgo y el peligro al sistema, lo que significa que es necesario
implementar medidas de protección.
¿CÓMO VALORAR LA PROBALIDAD DE AMENAZA?
Consideraciones
Interés o la atracción por parte de individuos externos.
Nivel de vulnerabilidad
Frecuencia en que ocurren los incidentes.
Valoración de probabilidad de amenaza
BAJA: existen condiciones que hacen muy lejana la posibilidad del ataque.MEDIANA: existen condiciones que hacen poco probable un ataque en corto plazo, pero no son suficientes para evitarlo en el largo plazo.ALTA: ataque es inminente. No existen condiciones internas y externas que impidan el desarrollo del ataque.
Probabilidad de Amenaza
16
Seguridad Informática 2014
Cuadro Nº 8 - Fuente: Elaboración Propia.
Se habla de un Ataque, cuando una amenaza se convirtió en realidad, es decir
cuando un evento se realizó. Pero el ataque no dice nada sobre el éxito del
evento es así que los datos e informaciones fueron perjudicado respecto a su
confidencialidad, integridad, disponibilidad y autenticidad.
Para estimar la Probabilidad de Amenaza nos podemos hacer algunas
preguntas:
¿Cuál es el interés o la atracción por parte de individuos externos,
de atacarnos?
Algunas razones pueden ser que manejamos información que contiene
novedades o inventos, información comprometedora, etc. Talvez
tenemos competidores en el trabajo, negocio o simplemente por la
imagen o posición pública que tenemos.
¿Cuáles son nuestras vulnerabilidades?
Es importante considerar todos los grupos de vulnerabilidades. También
se recomienda incluir los expertos, especialistas de las diferentes áreas
de trabajo para obtener una imagen más completa y más detallada
sobre la situación interna y el entorno.
¿Cuántas veces ya han tratado de atacarnos?
Ataques pasados nos sirven para identificar una amenaza y si su
ocurrencia es frecuente, más grande es la probabilidad que pasará otra
vez. En el caso de que ya tenemos implementadas medidas de
protección es importante llevar un registro, que muestra los casos
cuando la medida se aplicó exitosamente y cuándo no.
17
Seguridad Informática 2014
¿CUÁNDO HABLAMOS DE UN IMPACTO?
Cuadro Nº 9 - Fuente: Elaboración Propia.
Se habla de un Impacto, cuando un ataque exitoso perjudicó la
confidencialidad, integridad, disponibilidad y autenticidad de los datos e
informaciones.
¿CÓMO VALORAR LA MAGNITUD DE DAÑO?
Se pierde la información
Terceros tienen acceso
a la información
Cambio de legitimidad de
la fuente de información.
La información ha sido
manipulada o está
incompleta
Magnitud del daño
18
Seguridad Informática 2014
Cuadro Nº 10 - Fuente: Elaboración Propia.
Estimar la Magnitud de Daño generalmente es una tarea muy compleja. La
manera más fácil es expresar el daño de manera cualitativa, lo que significa
que aparte del daño económico, también se considera otros valores como
daños materiales, imagen, emocionales, entre otros. Expresarlo de manera
cuantitativa, es decir calcular todos los componentes en un solo daño
económico, resulta en un ejercicio aún más complejo y extenso.
Aunque conozcamos bien el impacto de un ataque exitoso, sus consecuencias
pueden ser múltiples, a veces son imprevisibles y dependen mucho del
contexto donde manejamos la información, sea en una ONG (derechos
humanos, centro de información etc.), en una empresa privada (banco, clínica,
producción etc.), en una institución Estatal o en el ámbito privado. Otro factor
decisivo, respecto a las consecuencias, es también el entorno donde nos
ubicamos, es decir cuáles son las Leyes y prácticas comunes, culturales que se
aplica para sancionar el incumplimiento de las normas.
Un punto muy esencial en el análisis de las consecuencias es la diferenciación
entre los dos propósitos de protección de la Seguridad Informática, la
Seguridad de la Información y la Protección de datos, porque nos permite
determinar, quien va a sufrir el daño de un impacto, nosotros, otros o ambos.
En todo caso, todos nuestros comportamientos y decisiones deben ser dirigidos
Consideraciones sobre las consecuencias de un impacto
¿Quién sufrirá el daño?
Incumplimiento de confidencialidad (interna y externa)
Incumplimiento de obligaciones jurídicas, contratos, convenios.
Valoración de magnitud del daño
BAJA: daño aislado, no perjudica los componentes de la organización.MEDIANA: provoca la desarticulación de un componente de la organización. A largo plazo puede provocar desarticulación de la organización.
ALTA: En corto plazo: desmoviliza o desarticula a la organización.
19
Seguridad Informática 2014
por una conciencia responsable, de no causar daño a otros, aunque su realidad
no tenga consecuencias negativas.
Otras preguntas que podemos hacernos para identificar posibles
consecuencias negativas causadas por un impacto son:
¿Existen condiciones de incumplimiento de confidencialidad
interna y externa?
Esto normalmente es el caso cuando personas no autorizadas tienen
acceso a información y conocimiento ajeno que pondrá en peligro
nuestra misión.
¿Existen condiciones de incumplimiento de obligación jurídicas,
contratos y convenios?
No cumplir con las normas legales fácilmente puede culminar en
sanciones penales o económicas, que perjudican nuestra misión,
existencia laboral y personal.
¿Cuál es el costo de recuperación?
No solo hay que considerar los recursos económicos, tiempo,
materiales, sino también el posible daño de la imagen pública y
emocional.
Considerando todos los aspectos mencionados, nos permite clasificar la
Magnitud del Daño.
Matriz para el Análisis de Riesgo
La Matriz para el Análisis de Riesgo, es producto del proyecto de Seguimiento
al “Taller Centroamericano Ampliando la Libertad de Expresión: Herramientas
para la colaboración, información y comunicación segura” y fue punto clave en
analizar y determinar los riesgos en el manejo de los datos e información de las
20
Seguridad Informática 2014
organizaciones sociales participantes. La Matriz, basada en una hoja de
cálculo, no dará un resultado detallado sobre los riesgos y peligros de cada
recurso (elemento de información) de la institución, sino una mirada
aproximada y generalizada de estos.
Hay que tomar en cuenta que el análisis de riesgo detallado, es un trabajo muy
extenso y consumidor de tiempo, porque requiere que se compruebe todos los
posibles daños de cada recurso de una institución contra todas las posibles
amenazas, es decir terminaríamos con un sinnúmero de grafos de riesgo que
deberíamos analizar y clasificar. Por otro lado, hay que reconocer que la
mayoría de las organizaciones sociales centroamericanas (el grupo meta del
proyecto), ni cuentan con personal técnico específico para los equipos de
computación, ni con recursos económicos o mucho tiempo para dedicarse o
preocuparse por la seguridad de la información que manejan y en muchas
ocasiones tampoco por la formación adecuada de sus funcionarios en el
manejo de las herramientas informáticas.
Entonces lo que se pretende con el enfoque de la Matriz es localizar y
visualizar los recursos de una organización, que están más en peligro de sufrir
un daño por algún impacto negativo, para posteriormente ser capaz de tomar
las decisiones y medidas adecuadas para la superación de las vulnerabilidades
y la reducción de las amenazas.
Fundamento de la Matriz
La Matriz se basa en el método de Análisis de Riesgo con un grafo de riesgo,
usando la fórmula: Riesgo = Probabilidad de Amenaza x Magnitud de Daño
La Probabilidad de Amenaza y Magnitud de Daño pueden tomar los valores y
condiciones respectivamente
1 = Insignificante
2 = Baja
3 = Mediana
21
Seguridad Informática 2014
4 = Alta
Cuadro Nº 11 - Fuente: Internet.
El Riesgo, que es el producto de la multiplicación Probabilidad de Amenaza por
Magnitud de Daño, está agrupado en tres rangos, y para su mejor
visualización, se aplica diferentes colores.
Bajo Riesgo = 1 – 6 (verde)
Medio Riesgo = 8 – 9 (amarillo)
Alto Riesgo = 12 – 16 (rojo)
Uso de la Matriz
La Matriz contiene una colección de diferentes Amenazas (campos verdes) y
Elementos de información (campos rojos). Para llenar la Matriz, tenemos que
estimar los valores de la Probabilidad de Amenaza (campos azules) por cada
Amenaza y la Magnitud de Daño (campos amarillos) por cada Elemento de
Información.
22
Seguridad Informática 2014
Cuadro Nº 12 - Fuente: Internet.
Para la estimación de la Probabilidad de amenazas, se trabaja con un valor
generalizado, que solamente está relacionado con el recurso más vulnerable
de los elementos de información, sin embargo usado para todos los elementos.
Si por ejemplo existe una gran probabilidad de que nos puedan robar
documentos y equipos en la oficina, porque ya entraron varias veces y no
contamos todavía con una buena vigilancia nocturna de la oficina, no se
distingue en este momento entre la probabilidad si robarán una portátil, que
está en la oficina (con gran probabilidad se van a llevarla), o si robarán un
documento que está encerrado en una caja fuerte escondido (es menos
probable que se van a llevar este documento).
Este proceder obviamente introduce algunos resultados falsos respecto al
grado de riesgo (algunos riesgos saldrán demasiado altos), algo que
posteriormente tendremos que corregirlo. Sin embargo, excluir algunos
resultados falsos todavía es mucho más rápido y barato, que hacer un análisis
de riesgo detallado, sobre todo cuando el enfoque solo es combatir los riesgos
más graves.
En el caso de que se determine los valores para la Probabilidad de Amenaza y
Magnitud de Daño a través de un proceso participativo de trabajo en grupo
(grande), se recomienda primero llenar las fichas de apoyo para los Elementos
23
Seguridad Informática 2014
de Información y Probabilidad de Amenaza, y una vez consolidado los datos,
llenar la matriz.
Dependiendo de los valores de la Probabilidad de Amenaza y la Magnitud de
Daño, la Matriz calcula el producto de ambos variables y visualiza el grado de
riesgo.
Cuadro Nº 13 - Fuente: Internet.
Dependiendo del color de cada celda, podemos sacar conclusiones no solo
sobre el nivel de riesgo que corre cada elemento de información de sufrir un
daño significativo, causado por una amenaza, sino también sobre las medidas
de protección necesarias
Proteger los datos de RR.HH, Finanzas contra virus
Proteger los datos de Finanzas y el Coordinador contra robo
Evitar que se compartan las contraseñas de los portátiles
3.2 Clasificación de Riesgo
El objetivo de la clasificación de riesgo es determinar hasta qué grado es
factible combatir los riesgos encontrados. La factibilidad normalmente depende
de la voluntad y posibilidad económica de una institución, sino también del
24
Seguridad Informática 2014
entorno donde nos ubicamos. Los riesgos que no queremos o podemos
combatir se llaman riesgos restantes y no hay otra solución que aceptarlos.
Cuadro Nº 14 - Fuente: Internet.
Implementar medidas para la reducción de los riesgos significa realizar
inversiones, en general económicas. El reto en definir las medidas de
protección, entonces está en encontrar un buen equilibrio entre su
funcionalidad (cumplir con su objetivo) y el esfuerzo económico que tenemos
que hacer para la implementación y el manejo de estas.
De igual manera como debemos evitar la escasez de protección, porque nos
deja en peligro que pueda causar daño, el exceso de medidas y procesos de
protección, pueden fácilmente paralizar los procesos operativos e impedir el
cumplimiento de nuestra misión. El caso extremo respecto al exceso de
medidas sería, cuando las inversiones para ellas, superen el valor del recurso
que pretenden proteger.
25
Seguridad Informática 2014
Cuadro Nº 15 - Fuente: Internet.
Con el Riesgo restante se entiende dos circunstancias, por un lado son estas
amenazas y peligros que, aunque tenemos implementados medidas para evitar
o mitigar sus daños, siempre nos pueden afectar, si el ataque ocurre con una
magnitud superior a lo esperado. Podemos protegernos de cierto modo contra
los impactos de un terremoto común, sin embargo cuando ocurre con una
fuerza superior o antes no conocido, el impacto general será mucho más
grande y muy probablemente afectará también a nosotros.
La otra situación es cuando aceptamos conscientemente los posibles impactos
y sus consecuencias, después de haber realizado el análisis de riesgo y la
definición de las medidas de protección. Las razones para tomar esta decisión
pueden ser varias, sea que evitar los daños no está dentro de nuestra
posibilidad y voluntad económica o porque no entendemos que no tenemos
suficiente poder sobre el entorno. Sea lo que sea la razón, el punto importante
es que sabemos sobre la amenaza y decidimos vivir con ella y su posible
consecuencia.
3.3 Reducción de Riesgo
26
Seguridad Informática 2014
La reducción de riesgo se logra a través de la implementación de Medidas de
protección, que basen en los resultados del análisis y de la clasificación de
riesgo.
Cuadro Nº 16 - Fuente: Internet.
Las medidas de protección están divididas en medidas físicas y técnicas,
personales y organizativas.
En referencia al Análisis de riesgo, el propósito de las medidas de protección,
en el ámbito de la Seguridad Informática, solo tienen un efecto sobre los
componentes de la Probabilidad de Amenaza, es decir aumentan nuestra
capacidad física, técnica, personal y organizativa, reduciendo así nuestras
vulnerabilidades que están expuestas a las amenazas que enfrentamos. Las
medidas normalmente no tienen ningún efecto sobre la Magnitud de Daño, que
depende de los Elementos de Información y del contexto, entorno donde nos
ubicamos. Es decir, no se trata y muy difícilmente se puede cambiar el valor o
la importancia que tienen los datos e informaciones para nosotros, tampoco
vamos a cambiar el contexto, ni el entorno de nuestra misión.
27
Seguridad Informática 2014
Cuadro Nº 17 - Fuente: Internet.
La fuerza y el alcance de las medidas de protección, dependen del nivel de
riesgo
Alto riesgo: Medidas deben evitar el impacto y daño.
Medio riesgo: Medidas solo mitigan la magnitud de daño pero no
evitan el impacto.
Considerando que la implementación de medidas de protección están en
directa relación con inversiones de recursos económicos y procesos operativos,
es más que obvio, que las medidas, para evitar un daño, resultarán (mucho)
más costosas y complejas, que las que solo mitigan un daño.
Para que las medias sean exitosas, es esencial que siempre verificamos su
factibilidad, es decir que técnicamente funcionan y cumplen su propósito, que
están incorporadas en los procesos operativos institucionales y que las
personas se apropian de estás. Es indispensable que están respaldadas,
aprobadas por aplicadas por la coordinación, porque si no, pierden su
28
Seguridad Informática 2014
credibilidad. También significa que deben ser diseñadas de tal manera, que no
paralizan u obstaculizan los procesos operativos porque deben apoyar el
cumplimiento de nuestra misión, no impedirlo.
Otro punto clave es, que las personas que deben aplicar y apropiarse de las
medias saben sobre su existencia, propósito e importancia y son capacitadas
adecuadamente en su uso, de tal manera, que las ven como una necesidad
institucional y no como otra cortapisa laboral.
Debido a que la implementación de las medidas no es una tarea aislada, única,
sino un proceso continuo, su manejo y mantenimiento debe estar integrado en
el funcionamiento operativo institucional, respaldado por normas y reglas que
regulan su aplicación, control y las sanciones en caso de incumplimiento.
El propósito del control de riesgo es analizar el funcionamiento, la efectividad y
el cumplimiento de las medidas de protección, para determinar y ajustar sus
deficiencias.
Las actividades del proceso, tienen que estar integradas en el plan operativo
institucional, donde se define los momentos de las intervenciones y los
responsables de ejecución.
Medir el cumplimiento y la efectividad de las medidas de protección requiere
que levantemos constantemente registros sobre la ejecución de las actividades,
los eventos de ataques y sus respectivos resultados. Estos tenemos que
analizados frecuentemente. Dependiendo de la gravedad, el incumplimiento y
el sobrepasar de las normas y reglas, requieren sanciones institucionales para
los funcionarios.
En el proceso continuo de la Gestión de riesgo, las conclusiones que salen
como resultado del control de riesgo, nos sirven como fuente de información,
cuando se entra otra vez en el proceso de la Análisis de riesgo.
5. Análisis de impacto al negocio
29
Seguridad Informática 2014
El reto es asignar estratégicamente los recursos para cada equipo de
seguridad y bienes que intervengan, basándose en el impacto potencial para el
negocio, respecto a los diversos incidentes que se deben resolver.
Para determinar el establecimiento de prioridades, el sistema de gestión de
incidentes necesita saber el valor de los sistemas de información que pueden
ser potencialmente afectados por incidentes de seguridad. Esto puede implicar
que alguien dentro de la organización asigne un valor monetario a cada equipo
y un archivo en la red o asignar un valor relativo a cada sistema y la
información sobre ella. Dentro de los valores para el sistema se pueden
distinguir: confidencialidad de la información, la integridad (aplicaciones e
información) y finalmente la disponibilidad del sistema. Cada uno de estos
valores es un sistema independiente del negocio, supongamos el siguiente
ejemplo, un servidor web público pueden poseer la característica de
confidencialidad baja (ya que toda la información es pública) pero necesita alta
disponibilidad e integridad, para poder ser confiable. En contraste, un sistema
de planificación de recursos empresariales (ERP) es, habitualmente, un
sistema que posee alto puntaje en las tres variables.
Los incidentes individuales pueden variar ampliamente en términos de alcance
e importancia.
6. Puesta en marcha de una política de seguridad
Actualmente las legislaciones nacionales de los Estados, obligan a las
empresas, instituciones públicas a implantar una política de seguridad. Por
ejemplo, en España, la Ley Orgánica de Protección de Datos de carácter
personal o también llamada LOPD y su normativa de desarrollo, protege ese
tipo de datos estipulando medidas básicas y necesidades que impidan la
pérdida de calidad de la información o su robo. También en ese país, el
Esquema Nacional de Seguridad establece medidas tecnológicas para permitir
que los sistemas informáticos que prestan servicios a los ciudadanos cumplan
con unos requerimientos de seguridad acordes al tipo de disponibilidad de los
servicios que se prestan.
30
Seguridad Informática 2014
Generalmente se ocupa exclusivamente a asegurar los derechos de acceso a
los datos y recursos con las herramientas de control y mecanismos de
identificación. Estos mecanismos permiten saber que los operadores tienen
sólo los permisos que se les dio.
La seguridad informática debe ser estudiada para que no impida el trabajo de
los operadores en lo que les es necesario y que puedan utilizar el sistema
informático con toda confianza. Por eso en lo referente a elaborar una política
de seguridad, conviene:
Elaborar reglas y procedimientos para cada servicio de la organización.
Definir las acciones a emprender y elegir las personas a contactar en
caso de detectar una posible intrusión
Sensibilizar a los operadores con los problemas ligados con la seguridad
de los sistemas informáticos.
Los derechos de acceso de los operadores deben ser definidos por los
responsables jerárquicos y no por los administradores informáticos, los cuales
tienen que conseguir que los recursos y derechos de acceso sean coherentes
con la política de seguridad definida. Además, como el administrador suele ser
el único en conocer perfectamente el sistema, tiene que derivar a la directiva
cualquier problema e información relevante sobre la seguridad, y
eventualmente aconsejar estrategias a poner en marcha, así como ser el punto
de entrada de la comunicación a los trabajadores sobre problemas y
recomendaciones en término de seguridad informática.
6. Procedimiento, Mecanismo y Técnicas para asegurar el sistema
6.1 Relación entre Procedimiento, Mecanismo y Técnicas para asegurar el sistema
Mecanismos Básicos de Seguridad
- Autenticación - Autorización.- Administración.- Auditoria y registración.
Se llevan a cabo a través:
TÉCNICAS DE SEGURIDAD
Dependen de la tecnología que se usa.
31
Seguridad Informática 2014
Cuadro Nº 18 - Fuente: Elaboración Propia.
De acuerdo con el esquema se deduce que a medida que las nuevas
tecnologías permiten el uso de herramientas más complejas, es necesario que
se desarrolle nuevas técnicas y procedimientos que nos ayuden a controlar
nuestros datos.
A. Procedimiento de seguridad
Un procedimiento de seguridad determina las acciones o tareas a
realizar en el desempeño de un proceso relacionado con la
seguridad y las personas o grupos responsables de su ejecución.
Un procedimiento debe ser claro, sencillo de interpretar y no
ambiguo en su ejecución.
El desarrollo de los procedimientos se llevara a cabo en base de
las políticas y de un análisis de riesgo formal.
1. Políticas de seguridad
Las políticas de seguridad son esencialmente orientaciones e
instrucciones que indican cómo manejar los asuntos de seguridad y
forman la base de un plan maestro para la implantación efectiva de
medidas de protección tales como: identificación y control de acceso,
respaldo de datos, planes de contingencia y detección de intrusos.
La empresa debe contar con un documento formalmente elaborado
sobre el tema, el cual obligatoriamente será divulgado entre todos los
Procedimientos de seguridad de información
32
Seguridad Informática 2014
funcionarios. Las cuales deben ser revisadas, actualizadas
periódicamente.
Las políticas deben comprender:
La definición de los objetivos principales y su importancia
dentro de la empresa.
Mostrar compromiso de la alta gerencia con la mima filosofía
respecto al acceso de datos.
Establecer la base para poder diseñar normas y
procedimientos referidos a:
Cuadro Nº 19 - Fuente: Elaboración Propia.
A partir de las políticas podemos a comenzar a desarrollar primero
las normas, y luego los procedimientos de seguridad que serán la
guía para la realización de actividades.
Políticas de seguridad Procedimientos y normas de seguridad
Consisten de declaraciones genéricas.
Hacen referencia específica a tecnologías, metodologías, procedimientos de implementación y otros aspectos en detalle.
Deberían durar durante muchos años Duran menos tiempo.Son más estables. Necesitan ser actualizadas más a
menudo.Una declaración sobre políticas Maneja un problema específico a
Organización de la seguridad.
Clasificación y control de datos.
Seguridad de las personas
Seguridad física y ambiental.
Plan de contingencia.
Protección y detección de virus.
Administración de los computadores.
33
Seguridad Informática 2014
describe sólo la forma general de manejar un problema específico.
detalle o en forma extensa.
Cuadro Nº 20 - Fuente: Elaboración Propia.
2. Seguridad lógica:
Son los procedimientos existentes para controlar el acceso lógico no
autorizado a la información, ya sea que se realice mientras esta se
encuentra almacenada o durante la transmisión.
- Control de acceso interno: determinan lo que un usuario o grupo
de usuarios puede o no hacer con los recursos de la empresa. Se
aplican las siguientes técnicas:
Cuadro Nº 21 - Fuente: Elaboración Propia.
- Control de acceso externo: son una protección contra la interacción
de nuestro sistema con los sistemas, servicios y gente externa se
emplean las siguientes técnicas:
Cuadro Nº 22 - Fuente: Elaboración Propia.
3. Seguridad Organizacional:
... * Passwords
* Encriptación
* Etiquetas de seguridad
* Lista de control de acceso
... * Firewalls o puertas de seguridad
* Dispositivos de control de puertas
34
Seguridad Informática 2014
Son los procedimientos existentes para controlar que efectos
ambientales podrían perjudiquen el procedimiento, los
equipamientos y el personal ejm: los protectores de pico de
tensión eléctrica.
- Recuperación de desastres: pueden ser naturales y causados por
el hombre.
Cuadro Nº 23 - Fuente: Elaboración Propia.
- Acciones hostiles: los sistemas de Tecnologías de Información (TI)
son vulnerables a una serie de amenazas que puede ocasionar
daños que resulten en pérdidas significativas, los cuales pueden ser
alterar la base de datos o provocar un incendio que destruya todo la
data.
Robo y fraude, espionaje, sabotaje, hackers y códigos maliciosos
4. Seguridad física:
Son los procedimientos existentes para controlar el acceso físico
al equipamiento informático.
- Controles de seguridad física y entorno ISO 17799.
El ISO 17799 ofrece un marco de seguridad en la organización y
ofrece mecanismos para administrar los procesos de seguridad.
Proporciona los siguientes beneficios:
Causados por el hombre
ExplosionesIncendios
Generados por la naturaleza
SismosInundacionesMaremotosVolcanes
35
Seguridad Informática 2014
Cuadro Nº 24 - Fuente: Elaboración Propia.
Contiene 10 controles de seguridad, y entre ellos hay controles de
seguridad física. Dichos controles manejan riesgos inherentes a las
Instalaciones de la entidad los cuales incluyen:
Una metodología estructurada reconocida intencionalmente.
Un proceso definido para evaluar, mantener y administrar seguridad informática.
Certificación que permite a una entidad demostrar su “status”
36
Seguridad Informática 2014
Cuadro Nº 25 - Fuente: Elaboración Propia.
- Controles de seguridad física y entorno NIST
Según NIST, los controles se implementan para proteger los
ambientes en que se encuentran los recursos del sistema y los
elementos adicionales que permiten su ejecución.
Control de acceso físico; restringen el ingreso y salida del personal,
equipos o medios de almacenamiento. Se establece en la zona
donde se encuentra el hardware y el cableado.
Fallas de servicios accesorios; se requiere un ambiente de trabajo
razonable bajo control con equipos de servicio accesorio (aire
acondicionado, si fallan pueden dañar el hardware).
Lugar Analisis de las intalaciones de la empresa
Seguridad del premetro
fisico
Estar claramanete definido y en buen estado.
Control de acceso Contar con controles de ingreso y salida
EquipamientoEquipos ubicados en zonas que aseguren su integridad y disponibilidad.
Transporte de bienes
Mecanismos para el ingreso y salidad de bienes a traves del perimetro de seguridad.
Generales Politicas y estandares como utilizacion de equipos de destruccion de documentos , seguridad operacional en el espacio de trabajo.
37
Seguridad Informática 2014
Sistemas móviles y portátiles
- Forénsica
Son empleadas en caso de delito informático, el forense tratara de
identificar hasta qué punto rompió la seguridad el hacker, también se
puede utilizar este procedimiento cuando se quiera determinar el uso
excesivo del internet por los usuarios de la empresa.
Tiene los siguientes pasos para recoger la evidencia:
Cuadro Nº 26 - Fuente: Elaboración Propia.
B. Mecanismo de seguridad
Los mecanismos básicos de seguridad no toman en cuenta el tipo de
tecnología que se utilizada, los cuales son llevados a cabo por medio del
uso de técnicas de seguridad.
Clasificación de los mecanismos de seguridad
Los mecanismos de seguridad se dividen en 4 grandes grupos:
Asegurar el área física
Desactivar el sistema
Asegurar el sistema
Preparar el sistema
Examinar el sistema
Preparar el sistema para la recolección
Conectar un medio de
almacenamiento.
Copiar información
Asegurar la evidencia
Examinar evidencia
38
Seguridad Informática 2014
Cuadro Nº 27 - Fuente: Elaboración Propia.
1. Mecanismos de prevención
Garantizan la seguridad del sistema durante su uso habitual.
Los disquetes, CD-ROM’s, y otros medios removibles que entran y
salen de nuestro sistema deberán ser tenidos en cuenta, así como
los medios no electrónicos como impresos, faxes, teletipos, pantallas,
con que las personas tratan la información. Para todos ellos las
soluciones serán fundamentalmente organizativas. Se pueden
mencionar las siguientes:
a. Autentificación
Es el proceso de identificar un usuario, máquina u organización de
modo preciso. Existen muchas tecnologías que se pueden usar para
autenticar:
Cuadro Nº 28 - Fuente: Elaboración Propia.
Mecanismos de prevención
Mecanismo de detección
Mecanismo de recuperación
Mecanismo de auditoría.
Contraseñas
Certificados
Biometría
Voz, escritura, huellas, patrones oculares, mano.
Tarjetas Inteligentes
(Smart card)
Firma digital
39
Seguridad Informática 2014
Cuadro Nº 29 - Fuente: Elaboración Propia.
Cuadro Nº 30 - Fuente: WIKIPEDIA.
Clasificación de autenticación
La autentificación tradicional (UNIX, NT...) garantiza que
las contraseñas se mantienen en secreto, pero utilizan
sistemas de encriptación muy simples.
40
Seguridad Informática 2014
Una tecnología consolidada y en auge es Kerberos, un
protocolo de autentificación distribuida con cualidades de
identificación única (Single Sign-On) que permite establecer
privacidad e integridad de los datos, utilizando mecanismos
de clave pública, mucho más seguros que la autentificación
tradicional.
b. Autorización
Es el proceso de determinar lo que un elemento autenticado puede
hacer. Ejemplos son las listas de control de acceso o la seguridad del
sistema de archivos (NTFS, por ejemplo), que asocian los usuarios
autenticados a perfiles de acceso a aplicaciones, ficheros, equipos,
etc. Mediante este proceso se determinan los privilegios de un
usuario (u otro elemento autenticado) en un sistema.
c. Disponibilidad
Consiste en proteger los sistemas para mantenerlos en
funcionamiento el mayor tiempo posible. Ya hemos hablado de la
protección física. Existen sistemas que nos permiten aumentar la
disponibilidad del software con sistemas de particionado lógico de
máquinas físicas, tecnologías cluster, tanto de discos como de red.
d. Mantenimiento de la integridad de información
Consiste en asegurar que la información no se ha transformado
durante su procesamiento, transporte o almacenamiento. Es decir
que los archivos permanezcan sin sufrir cambios no autorizados y
que la información enviada desde un punto llegue a su destino
inalterada.
2. Mecanismos de detección
Un grupo de tecnologías se encargan de detectar intentos de ataques
o ataques propiamente dichos. Aportan unas ciertas medidas de
41
Seguridad Informática 2014
monitorización y detección de actividad sospechosa, que pueden ser
más o menos “inteligente”.
a. Los cortafuegos (firewalls):
Los cortafuegos pueden ser implementados en hardware o software,
o una combinación de ambos. Los cortafuegos se utilizan con
frecuencia para evitar que los usuarios de Internet no autorizados
tengan acceso a redes privadas conectadas a Internet,
especialmente intranets.
b. Los análisis de riesgos
Estas se encargan de detectar problemas de seguridad en nuestros
sistemas. Los hay de muchos tipos:
- Los analizadores de vulnerabilidades: Son herramientas que
realizan un barrido en nuestros sistemas comprobando agujeros de
seguridad conocidos en el sistema.
- Los scanner de puertos: son herramientas que se encargan de
advertir de todos los servicios que nuestro sistema está ofertando a
la red ya que en muchas ocasiones son más de los necesarios.
- Herramientas que hacen una “foto” del sistema en su origen, y que
permiten comprobar que todo sigue igual con el paso del tiempo, y
no se han producido modificaciones al software básico. Estas
“fotos” se basan en algoritmos hash sobre los archivos clave del
sistema.
- Herramientas que actúan sobre las contraseñas del sistema. Se
encargan de detectar la vulnerabilidad de estas contraseñas.
Otro tipo de tecnologías se encarga de los fallos hardware, la
monitorización, las alertas, acciones ante fallos, etc.
42
Seguridad Informática 2014
Todo un abanico de herramientas de gestión de infraestructuras que
permiten detectar fallos, en muchas ocasiones, antes de que
produzcan daños al sistema. Y no solo fallos, también se encargan
de detectar los niveles de saturación de los elementos críticos antes
de que se produzcan problemas en el servicio.
Por último un elemento imprescindible de detección en una red es el
antivirus. Programa, o conjunto de programas, encargados de
mantener un ordenador y/o una red libres de virus. Se deberán
colocar antivirus en todos los puntos de entrada/salida de
información de nuestro sistema.
3. De recuperación
Nos permiten recuperar el estado habitual del sistema tras un fallo o
ataque. Fundamentalmente son herramientas basadas en las copias
de seguridad.
4. De auditoría
Nos permiten determinar las causas de los problemas antes, durante
y después de que suceda. Fundamentalmente son registros de los
sucesos que se van produciendo en el sistema: usuarios que entran,
acciones que realizan, tiempos en los que se hacen las cosas
C. Técnicas de seguridad de información
Entre las técnicas más consolidadas encontramos las copias de
respaldo, los antivirus, los cortafuegos, los mecanismos de autenticación
y la criptografía.
43
Seguridad Informática 2014
Cuadro Nº 31 - Fuente: Elaboración Propia.
1. Respaldo de información
Un buen sistema de respaldo debe contar con ciertas características
indispensables:
Continuo
El respaldo de datos debe ser completamente automático y
continuo. Debe funcionar de forma transparente, sin intervenir
en las tareas que se encuentra realizando el usuario.
Seguro
Muchos softwares de respaldo incluyen cifrado de datos (128-
448 bits), lo cual debe ser hecho localmente en el equipo
antes del envío de la información.
Los datos deben quedar alojados en dependencias alejadas
de la empresa.
Se encaminan a garantizar la disponibilidad de los sistemas frente a cualquier eventualidad.
Respaldo de información
Control del software instalado.Control de red.Los antivirus
Tratan de reducir el número de vías potenciales de acceso a los sistemas corporativos desde el exterior, estableciendo limitaciones al número de equipos y de servicios visibles.
Los cortafuegos
Pueden ser esquemas simples o complejas.Mecanismos de Autenticación y la incriptación
44
Seguridad Informática 2014
Mantención de versiones anteriores de los datos
Se debe contar con un sistema que permita la recuperación de
versiones diarias, semanales y mensuales de los datos.
2. Técnicas en los mecanismos de autenticación.
Estos mecanismos pueden variar desde esquemas simples basados
en los pares usuario contraseña, hasta complejos sistemas
distribuidos basados en credenciales o sistemas de autenticación
biométricos basados en el reconocimiento mecanizado de
características físicas de las personas.
Security tokens o ID card
La autenticación es realizada a través de una contraseña que
cuenta con dos componentes:
- Fijo (un PIN de usuario)
- Variable, es generado por securitytoken, una pequeña tarjeta con
un display.
El cual genera una nueva contraseña cada 60 segundos. Estas
contraseñas son generadas en sincronismo con el servidor.
A cada usuario se le asigna un PIN y se le entrega un securitytoken.
Así cada vez que intente ingresar al sistema deberá digitar su PIN y
la contraseña generada por su token.
Reconocimiento biométrico
Las técnicas biométricas presentan procesos de verificación basados
en características físicas (cara, huella digitales) o de comportamiento
(registro vocal, firma a mano alzada).
45
Seguridad Informática 2014
Estas características son capturadas e ingresadas al sistema,
asociadas a cada usuario respectivo. Luego en el momento de la
verificación, la autenticación se produce por la comparación del
patrón almacenado y registro realizado por el usuario que requiere el
acceso.
Técnica Ventajas desventajas
Reconocimiento de cara.
Fácil, rápido y económico.
La iluminación puede alterar la autenticación.
La lectura de huella digital.
Económico y muy seguro.
Pueden haber replicas, cortes o lastimaduras que alteren la autenticación.
Lectura de iris/retina.
Muy seguro. Intrusivo (molesto para el
usuario).
Lectura de la palma de la mano.
Económico Puede ser alterado por el
estado emocional de la persona.
Reconocimiento de la voz.
Útil para acceso remoto.
Lento, puede ser alterado por el estado emocional de la persona, fácilmente. reproducible.
Cuadro Nº 32 - Fuente: Elaboración Propia.
3. Técnicas en los mecanismos de integridad
Dentro de las técnicas más utilizadas para mantener o controlar la
integridad de los datos, podemos citar:
Cuadro Nº 33 - Fuente: Elaboración Propia.
a. Protección contra virus
Antivirus Encriptación Funciones hash
46
Seguridad Informática 2014
Es una aplicación orientada a prevenir, detectar y eliminar
programas maliciosos denominados virus, los cuales actúan
dañando un sistema informático con diversas técnicas.
i. Control del software instalado
Pretenden evitar la aparición de lógica maliciosa y en caso
de infección tratan de eliminarla de los sistemas.
Software Antivirus: Consiste en un programa que se debe
instalar en su ordenador. Protege su sistema
permanentemente, si algún virus intenta introducirse en su
ordenador el antivirus lo detecta.
ii. Control de la red
Entre los antivirus conviene destacar aquellos que
inspeccionan los correos electrónicos evitando la infección
de sus destinatarios. Son los siguientes:
Cortafuegos (firewall):
Programa que funciona como muro de defensa,
bloqueando el acceso a un sistema en particular. Se
utilizan principalmente en computadoras con conexión a
una red, fundamentalmente internet. El programa controla
todo el tráfico de entrada y salida, bloqueando cualquier
actividad sospechosa e informando adecuadamente de
cada suceso.
Antiespias(antispyware):
aplicación que busca, detecta y elimina programas espías
(spyware) que se instalan ocultamente en el ordenador.
47
Seguridad Informática 2014
Antipop-ups:
utilidad que se encarga de detectar y evitar que se ejecuten
las ventanas pop-ups cuando navegas por la red. Muchas
veces los pop-ups apuntan a contenidos pornográficos o
paginas infectadas. Algunos navegadores web como
mozillafirefox o internet explorer 7 cuentan con un sistema
antipop-up integrado.
Antispam:
aplicación o herramienta que detecta y elimina el spam y
los correos no deseados que circulan por via email.
Funcionan mediante filtros de correo que permiten detectar
los emails no deseados. Estos filtros son totalmente
personalizables.
b. Encriptación
Es una ciencia que brinda distintas técnicas capaces de
transformar datos legibles en datos no legibles y viceversa por
medio de funciones matemáticas (algoritmos).
El objetivo es prevenir datos legibles en inteligibles.
48
Seguridad Informática 2014
Gráfico Nº 34 - Fuente: Elaboración Propia.
Existen dos tipos:
Simétricos: utilizan la misma clave para encriptar y descriptar
Asimétricos: los cuales utilizan dos claves distintas. Una
pública y la otra privada.
Estas tecnologías tienen múltiples utilidades entre las que
destacaremos las siguientes:
i. Certificados
Un certificado digital contiene, fundamentalmente, los datos
de un usuario (o entidad) y su clave pública (ligada a su
clave privada). Esta información viene avalada por una
entidad tercera que garantiza la validez de su contenido: es
la entidad certificadora
49
Seguridad Informática 2014
Gráfico Nº 35 - Fuente: Elaboración Propia.
ii. Smart Cards (Tarjetas inteligentes)
Las llamadas tarjetas inteligentes son un dispositivo de
seguridad del tamaño de una tarjeta de crédito que ofrece
funciones de almacenamiento y procesamiento seguro de
información.
Gráfico Nº 36 - Fuente: Elaboración Propia.
50
Seguridad Informática 2014
La diferencia con las tarjetas normales estriba en que éstas tienen
una banda magnética en la que existe cierta información,
mientras que las tarjetas inteligentes disponen de un chip
empotrado en la propia tarjeta. Las tarjetas aportan las siguientes
características de seguridad:
- Almacenamiento resistente a ataques para claves
privadas y otra información sensible.
- Portabilidad de las credenciales digitales y otras
informaciones.
- Doble seguridad: algo poseído (la tarjeta) y algo
conocido (el PIN de identificación).
iii.Redes privadas virtuales (VPN’s)
Para proteger la información que viaja a través de redes
públicas o poco seguras se emplea la tecnología de Redes
Privadas Virtuales. Existen diferentes aproximaciones
tecnológicas para solucionar este problema pero todas ellas
consisten en crear un ‘túnel’ entre dos extremos que se
comunican. El túnel se crea encriptando la información en el
origen y desencriptándola en el destino.
51
Seguridad Informática 2014
Gráfico Nº 37 - Fuente: Elaboración Propia.
Por ejemplo:
- El PPTP1, Point to Point Tunneling Protocol.
- PKI2 (Public Key Infraestructure)
c. Funciones hash
Es una función matemática compleja que se aplica a un conjunto
de caracteres de cualquier longitud obteniendo un resultado de
largo fijo, y cualquier cambio al conjunto de caracteres de origen,
producirá un cambio en el resultado
d. Protección física de acceso a las redes
Independientemente de las medidas que se adopten para proteger a los equipos de una red de área local y el software que reside en ellos, se deben tomar medidas que impidan que usuarios no autorizados puedan acceder. Las medidas habituales dependen del medio físico a proteger.
1PPTP,Pointto Point TunnelingProtocol, diseñado para autenticar y encriptar (además de comprimir) una comunicación entre dos extremos, en base a un identificador y una contraseña.2Una PKI está compuesta por una serie de entidades, Usuarios, Autoridad de Registro, Autoridad de certificación, Servidores de tiempo y Repositorio de la información.
52
Seguridad Informática 2014
A continuación se enumeran algunos de los métodos, sin entrar al tema de la protección de la red frente a ataques o intentos de intrusión desde redes externas, tales como Internet.
c.1) Redes cableadas
Las rosetas de conexión de los edificios deben estar protegidas y vigiladas.
Una medida básica es evitar tener puntos de red conectados a los switches.
Aún así siempre puede ser sustituido un equipo por otro no autorizado con lo
que hacen falta medidas adicionales: norma de acceso 802.1x, listas de control
de acceso por MAC addresses, servidores de DHCP por asignación reservada,
etc.
c.2) Redes Inalámbricas
En este caso el control físico se hace más difícil, si bien se pueden tomar
medidas de contención de la emisión electromagnética para circunscribirla a
aquellos lugares que consideremos apropiados y seguros. Además se
consideran medidas de calidad el uso del cifrado ( WPA, WPA v.2, uso de
certificados digitales, etc.), contraseñas compartidas y, también en este caso,
los filtros de direcciones MAC, son varias de las medidas habituales que
cuando se aplican conjuntamente aumentan la seguridad de forma
considerable frente al uso de un único método.
e. Sanitización
Proceso lógico y/o físico mediante el cual se remueve información considerada
sensible o confidencial de un medio ya sea físico o magnético, ya sea con el
objeto de desclasificarlo, reutilizar el medio o destruir el medio en el cual se
encuentra.
7. Responsabilidades del Área de Seguridad Informática
53
Seguridad Informática 2014
Gráfico Nº 38 - Fuente: Elaboración Propia.
El área organizacional encargada de la administración encargada de la
administración de seguridad de información tiene como responsabilidades:
Establecer y documentar las responsabilidades de la organización en
cuanto a seguridad de información.
Mantener la política y estándares de seguridad de información de la
organización.
Identificar objetivos de seguridad y estándares de la entidad.
Definir metodologías y procesos relacionados a la seguridad de información.
Comunicar aspectos básicos de seguridad de información a los empleados
de la entidad. Esto incluye un programa de concientización para comunicar
aspectos básicos de seguridad de información y de las políticas de la
entidad.
Desarrollar controles para las tecnologías que utiliza la organización. Esto
incluye el monitoreo de vulnerabilidad documentadas por los proveedores.
Monitorear el cumplimiento de la política de seguridad de la entidad.
54
Seguridad Informática 2014
Controlar e investigar incidentes de seguridad o violaciones de seguridad.
Realizar una evaluación periódica de vulnerabilidades de los sistemas que
conforman la red de datos de la entidad.
Evaluar aspectos de seguridad de productos de tecnología, sistemas o
aplicaciones utilizados en la entidad.
Asistir a las gerencias de división en la evaluación de seguridad de las
iniciativas del negocio.
Verificar que cada activo de información de la entidad haya sido asignado a
un ¨propietario¨ el cual debe definir los requerimientos de seguridad como
políticas de protección, perfiles de acceso, respuestas de incidentes y sea
responsable final del mismo.
Administrar un programa de clasificación de activos de información,
incluyendo la identificación de los propietarios de las aplicaciones y datos.
Coordinación de todas las funciones relacionadas a seguridad, como
seguridad física, seguridad personal y seguridad de información
almacenada en medios no electrónicos.
Desarrollar y administrar el presupuesto de seguridad de información.
Reportar periódicamente a la gerencia de Administración y Operaciones.
Administración de acceso a las principales aplicaciones de la entidad.
Elaborar y mantener un registro con la relación de los accesos de los
usuarios sobre los sistemas y aplicaciones de la entidad y realizar
revisiones periódicas de la configuración de dichos accesos en los
sistemas.
Controlar aspectos de seguridad en el intercambio de información con
entidades externas.
Monitorear la aplicación de los controles de seguridad física de los
principales activos de información.
8.Actores que amenazan la seguridad
Un hacker es cualquier persona con amplios conocimientos en tecnología, bien
puede ser informática, electrónica o comunicaciones, mantiene
permanentemente actualizado y conoce a fondo todo lo relacionado con
55
Seguridad Informática 2014
programación y sistemas complejos; es un investigador nato que se inclina ante
todo por conocer lo relacionado con cadenas de datos cifrados y las
posibilidades de acceder a cualquier tipo de "información segura". Su formación
y las habilidades que poseen les da una experticia mayor que les permite
acceder a sistemas de información seguros, sin ser descubiertos, y también les
da la posibilidad de difundir sus conocimientos para que las demás personas se
enteren de cómo es que realmente funciona la tecnología y conozcan las
debilidades de sus propios sistemas de información.
Un cracker, es aquella persona con comportamiento compulsivo, que alardea
de su capacidad para reventar sistemas electrónicos e informáticos. Un cracker
es un hábil conocedor de programación de Software y Hardware; diseña y
fabrica programas de guerra y hardware para reventar software y
comunicaciones como el teléfono, el correo electrónico o el control de otros
computadores remotos.
Un lamer Es una persona que alardea de pirata informático, cracker o hacker y
solo intenta utilizar programas de FÁCIL manejo realizados por auténticos
hackers.
Un copyhacker' es una persona dedicada a falsificar y crackear hardware,
específicamente en el sector de tarjetas inteligentes. Su estrategia radica en
establecer amistad con los verdaderos Hackers, para copiarles los métodos de
ruptura y después venderlos los bucaneros. Los copyhackers se interesan por
poseer conocimientos de tecnología, son aficionados a las revistas técnicas y a
leer todo lo que hay en la red. Su principal motivación es el dinero.
Un "bucanero" es un comerciante que depende exclusivamente de de la red
para su actividad. Los "bucaneros" no poseen ningún tipo de formación en el
área de los sistemas, si poseen un amplio conocimiento en área de los
negocios.
Un phreaker se caracterizan por poseer vastos conocimientos en el área de
telefonía terrestre y móvil, incluso más que los propios técnicos de las
56
Seguridad Informática 2014
compañías telefónicas; recientemente con el auge de los teléfonos móviles,
han tenido que entrar también en el mundo de la informática y del
procesamiento de datos.
Un newbie o "novato de red" es un individuo que sin proponérselo tropieza con
una página de hacking y descubre que en ella existen áreas de descarga de
buenos programas de hackeo, baja todo lo que puede y empieza a trabajar con
ellos.
Un script kiddie o skidkiddie, es un simple usuario de Internet, sin
conocimientos sobre hackeo o crackeo que, aunque aficionado a estos tema,
no los conoce en profundidad limitándose a recopilar información de la red y a
buscar programas que luego ejecuta, infectando en algunos casos de virus a
sus propios equipos.
Y estos actores operan mediante ataques organizativos: Hay una organización
que entra en la red para intentar tener acceso a información confidencial con el
fin de obtener una ventaja empresarial.
Los ataques automatizados: utilizan software para examinar posibles
vulnerabilidades de la red o para implementar un ataque electrónico violento,
en estos ataques violentos o ataques por fuerza bruta se intenta usar muchos
nombres de usuario y contraseñas diferentes u otro tipo de credenciales para
obtener acceso a los recursos.
57
Seguridad Informática 2014
Gráfico Nº 39 - Fuente: Elaboración Propia.
Los ataques por denegación de servicio: desbordan un servidor con solicitudes
lo que hace que el mismo no sea capaz de ofrecer su servicio normal.
Los virus, caballos de Troya, gusanos, son programas peligrosos que actúan
explotando algunas vulnerabilidades conocidas para instalarse a sí mismos en
un equipo, muchas veces entran como datos adjuntos de un mensaje de correo
electrónico; una vez allí distribuyen copias de sí mismos a otros equipos
conectados y estas copias también se replican a sí mismas produciendo una
rápida infección de toda la red informática.
Las infracciones accidentales de seguridad suelen ser consecuencia de
prácticas o procedimientos deficiente, por ejemplo si queda expuesta
públicamente cierta información de seguridad como nombre de usuario y
contraseña un atacante puede aprovechar dicha información para tener acceso
a la red.
8.1. Mejores prácticas
58
Seguridad Informática 2014
01 Utilizar estrategias de defensa profunda
Emplee activamente sistemas defensivos múltiples, superpuestos y de soporte
mutuo para protegerse contra fallas de punto único en cualquier tecnología o
método de protección específico. Esto debe incluir la implementación de
firewalls actualizados con regularidad, así como antivirus de puertas de enlace,
sistemas de detección o protección contra intrusiones (IPS), escaneos de
vulnerabilidad de sitios web con protección contra malware y soluciones de
seguridad de puertas de enlace web en toda la red.
02 Monitorear para detectar intentos de incursión en la red,
vulnerabilidades y abuso de marca
Reciba alertas sobre nuevas vulnerabilidades y amenazas en las plataformas
de los diversos proveedores para tomar medidas de reparación proactivas.
Detecte casos de abuso de marca mediante alertas de dominio e informes
sobre sitios web ficticios.
03 Un antivirus en los endpoints no alcanza
En los endpoints, es importante tener instaladas las últimas versiones de
software antivirus, pero esto por sí solo no brindará una protección completa.
Se debe implementar y usar un producto integral para seguridad en extremos
que tenga capas adicionales de protección, incluyendo:
• Prevención contra intrusión en extremos que impida el aprovechamiento de
vulnerabilidades sin parche, proteja contra ataques de ingeniería social y evite
que el malware llegue a los endpoints.
• Protección del explorador para evitar ataques complejos basados en la web
• Soluciones de reputación basadas en archivos y en la web que proporcionen
una calificación de riesgo y reputación de cualquier aplicación y sitio web para
impedir la ejecución de malwarepolimórfico y de mutación veloz.
59
Seguridad Informática 2014
• Funciones de prevención conductual que observen la actividad de las
aplicaciones e impidan la ejecución de malware.
• Configuración del control de las aplicaciones que impida que éstas y los
complementos (plug-ins) del explorador descarguen contenido malicioso no
autorizado.
• Configuración del control de los dispositivos que impida y limite los tipos de
dispositivos USB que se utilizarán.
04 Proteger sus sitios web contra “Man In The Middle” (ataques de
intermediarios)e infecciones de malware
Evite comprometer su relación de confianza con sus clientes tomando las
siguientes medidas:
• Configurar “SSL AlwaysOn” (protección SSL en su sitio web desde el inicio
hasta el cierre de sesión).
• Escanear su sitio web en forma diaria para detectar malware.
• Establecer el marcador seguro para todas las cookies de la sesión.
• Evaluar periódicamente su sitio web para detectar vulnerabilidades (en 2013,
uno de cada 8 sitios web escaneados tenía vulnerabilidades) .
• Optar por Certificados SSL con Validación Extendida, que muestra a los
usuarios del sitio web la barra de direcciones del explorador en verde.
• Mostrar marcas de confianza reconocidas en ubicaciones de gran visibilidad
en su sitio web para demostrar a sus clientes su compromiso con la seguridad.
05 Proteger sus claves privadas
Asegúrese de obtener sus certificados digitales de una autoridad reconocida y
confiable que demuestre excelentes prácticas de seguridad.
60
Seguridad Informática 2014
Se recomienda a las organizaciones:
• Usar infraestructuras independientes de Firma de Prueba y Firma de Versión
• Proteger las claves en dispositivos de hardware seguro, criptográfico y a
prueba de alteraciones.
• Implementar seguridad física para proteger sus activos contra robos.
06 Usar encriptación para proteger datos sensibles
Se recomienda implementar y hacer cumplir una política de seguridad que exija
que todo dato sensible sea encriptado. El acceso a la información sensible
debe ser restringido. Esto debe incluir una solución de Protección Contra
Pérdida de Datos (DLP). Asegúrese de que los datos de los clientes también
estén encriptados. Esto sirve no sólo para impedir violaciones de datos sino
que además puede ayudar a mitigar los daños provocados por las posibles
fugas de datos desde dentro de una organización. Use la Prevención Contra
Pérdida de Datos para ayudar a prevenir las violaciones de datos: Implemente
una solución de DLP capaz de descubrir dónde reside la información sensible,
monitorear su uso y protegerlos contra pérdidas. Debe implementarse la
prevención contra pérdida de datos para monitorear el flujo de información a
medida que va saliendo de la organización hacia la red, y el tráfico hacia
dispositivos externos o sitios web.
• La solución de DLP debe configurarse para identificar y bloquear acciones
sospechosas de copiado o descarga de datos sensibles.
• También debe utilizarse para identificar activos de datos confidenciales.
07 Asegurarse de que todos los dispositivos autorizados con acceso a las
redes de la empresa tengan protecciones de seguridad adecuadas
61
Seguridad Informática 2014
Si se aplica una política de ‘Traiga su propio dispositivo’ (BYOD), asegúrese de
que haya un perfil de seguridad mínimo para todo dispositivo autorizado a
acceder a la red.
08 Implementar una política de medios extraíbles
Cuando sea práctico, restringir los dispositivos no autorizados, tales como
discos duros externos portátiles y otros medios extraíbles. Tales dispositivos
pueden introducir malware y facilitar las infracciones de propiedad intelectual,
ya sea de manera intencional o no. Si los dispositivos de medios externos
están permitidos, automáticamente escanearlos en caso de virus ya que se
conectan a la red, también usar una solución de prevención de pérdida de
datos para monitorear y restringir la copia de información confidencial a
dispositivos de almacenamiento externo sin encriptar.
09 Tomar medidas enérgicas de actualización y aplicación de parches
Haga actualizaciones, parcheos y migraciones desde exploradores,
aplicaciones y complementos de exploradores obsoletos e inseguros.
Siempre tenga las últimas versiones disponibles de las definiciones de
prevención de virus e intrusiones utilizando los mecanismos de actualización
automática de los proveedores. La mayoría de los proveedores de software
trabajan con esmero para parchar las vulnerabilidades de software explotadas;
sin embargo, los parches sólo pueden ser eficaces si se adoptan en el campo.
Siempre que sea posible, conviene automatizar las implementaciones de
parches para mantener la protección contra vulnerabilidades en toda la
organización.
10 Aplicar una política de contraseñas eficaz
Asegúrese de que las contraseñas sean sólidas, con un mínimo de 8-10
caracteres de largo y con una combinación de letras y números.
62
Seguridad Informática 2014
Recomiende a los usuarios evitar reutilizar las mismas contraseñas en distintos
sitios web y compartir sus contraseñas con otras personas, práctica que
debería estar prohibida. Las contraseñas se deben cambiar con regularidad, al
menos cada 90 días.
11 Hacer copias de seguridad regularmente
Es recomendable crear y mantener copias de seguridad (backups) de los
sistemas críticos y de los extremos con regularidad. Si ocurriera una
emergencia de seguridad o de datos, se debe poder acceder fácilmente a las
copias de seguridad para minimizar el tiempo de inactividad de los servicios y
garantizar la productividad de los empleados.
12 Restringir los archivos adjuntos de correo electrónico
Configure los servidores de correo para bloquear o eliminar mensajes que
contengan archivos adjuntos que suelen usarse para difundir virus, por ejemplo
archivos .VBS, .BAT, .EXE, .PIF y .SCR. Las empresas deben examinar las
políticas relativas a los archivos .PDF autorizadas a incluirse como datos
adjuntos. Asegúrese de que los servidores de correo estén bien protegidos por
software de seguridad, y de que los mensajes se escaneen de forma
exhaustiva.
13 Asegurarse de contar con procedimientos de respuesta a infecciones e
incidentes
63
Seguridad Informática 2014
• Tenga siempre a mano los datos de contacto de su proveedor de soluciones
de seguridad, sepa a quién va a llamar y qué pasos va a seguir si tiene uno o
más sistemas infectados.
• Asegúrese de contar con una solución de copias de seguridad y restauración
para recuperar datos perdidos o comprometidos si ocurriera un ataque exitoso
o una pérdida de datos grave.
• Aproveche las funciones de detección post infección de los cortafuegos y
soluciones de seguridad de puertas de enlace web y extremos para identificar
sistemas infectados.
• Aísle las computadoras infectadas para prevenir el riesgo de infectar otros
equipos de la organización, y recupere los datos usando medios confiables de
copias de seguridad.
• Si los servicios de red son víctimas de un código malicioso o alguna otra
amenaza, hay que deshabilitar o bloquear el acceso a esos servicios hasta
aplicar un parche.
14 Educar a los usuarios acerca de los protocolos básicos de seguridad
• No abra datos adjuntos si no esperaba recibirlos o si no provienen de una
fuente conocida y confiable, y no ejecute software descargado de Internet (si se
permiten dichas acciones), salvo que la descarga haya sido escaneada para
detectar virus y malware.
• Se debe tener cuidado al hacer clic en URL en mensajes de correo
electrónico o programas de redes sociales, incluso cuando provienen de
fuentes confiables y amigos.
• Implemente soluciones con complementos de reputación de URL en
exploradores web que muestren la reputación de los sitios webdesde las
búsquedas.
64
Seguridad Informática 2014
• Descargue únicamente software (si está permitido) compartido por la
empresa, o directamente del sitio web del proveedor.
• Si los usuarios de Windows ven una advertencia que indica que están
“infectados” luego de hacer clic en una URL o de usar un motor de búsqueda
(infecciones de antivirus falsos), se debe enseñar a los usuarios a cerrar o salir
del explorador pulsando Alt-F4 o CTRL+W o utilizando el administrador de
tareas.
9. Medios de transmisión de ataques a los sistemas de seguridad
En la actualidad gracias a la gran cantidad posibilidades que se tiene para
tener acceso a los recursos de manera remota y al gran incremento en las
conexiones al internet los delitos en el ámbito de TI se han visto
incrementados, bajo estas circunstancias los riesgos informáticos son más
latentes. Los delitos cometidos mediante el uso de la computadora han crecido
en tamaño, forma y variedad. Los principales delitos hechos por computadora o
por medio de computadoras son:
Fraudes
Falsificación
Venta de información
Ahora una lista con los diez hackers más famosos del mundo, describiendo, por
supuesto, las hazañas” que lanzaron a estos genios informáticos a la
popularidad.
1. Kevin Mitnick
La lista de hackers la encabeza el norteamericano Kevin Mitnick, también
conocido como “El Cóndor”. El Departamento de Justicia de Estados Unidos lo
calificó como “el criminal informático más buscado de la historia" de ese país.
65
Seguridad Informática 2014
Mitnick cobró fama a partir de los años 80, cuando logró penetrar sistemas ultra
protegidos, como los de Nokia y Motorota, robar secretos corporativos y hasta
hackear a otros hackers.
Lo apresaron en 1995 y tras su puesta en libertad en 2002 se dedica a la
consultoría y el asesoramiento en materia de seguridad, a través de su
compañía Mitnick Security.
2. Kevin Poulson
Poulson logró fama en 1990 por hackear las líneas telefónicas de la radio KIIS-
FM de Los Angeles, para asegurarse la llamada número 102 y ganar así un
Porsche 944 S2. Y fue apresado tras atacar una base de datos del FBI en
1991.
3. Adrian Lamo
Originario de Boston, es conocido en el mundo informático como “El hacker
vagabundo” por realizar todos sus ataques desde cibercafés y bibliotecas.
Su trabajo más famoso fue la inclusión de su nombre en la lista de expertos de
New York Times y penetrar la red de Microsoft.
4. Stephen Wozniak
Wozniak comenzó su carrera como hacker de sistemas telefónicos para
realizar llamadas gratis; se dice que hasta llamó al Papa en los años 70.
Más tarde formó Apple Computer con su amigo Steve Jobs y hoy apoya a
comunidades educativas de escasos recursos con moderna tecnología.
5. Michael Calce
El día de San Valentín de 2000, con apenas 15 años de edad, lanzó un ataque
que afectó a eBay, Amazon y Yahoo!, tras lo cual fue condenado a uso limitado
de Internet.
66
Seguridad Informática 2014
6. Robert Tappan Morris
En noviembre de 1988, Robert Tappan Morris, también apodado RTM, creó un
virus informático que infectó a cerca de seis mil grandes máquinas Unix,
haciéndolas tan lentas que quedaron inutilizables, causando millonarias
Este hacker fue el primero en ser procesado por la ley de fraude computacional
en Estados Unidos y un disco duro que contiene el código de su virus se exhibe
en el Museo de la Ciencia de Boston.
7. Masters of Deception
Era un grupo de hackers de elite de Nueva York que se dedicaba a vulnerar los
sistemas de teléfono de Estados Unidos.
8. Sven Jaschan
Cierra la lista el creador del virus Sasser, quien fue detenido en mayo de 2004
tras una denuncia de sus vecinos que perseguían la recompensa incitada por la
empresa Microsoft, ya que el virus afectaba directamente la estabilidad de
Windows 2000, 2003 Server y Windows XP.
10. Organismos oficiales de seguridad informática
Existen organismos oficiales encargados de asegurar servicios de prevención
de riesgos y asistencia a los tratamientos de incidencias, tales como el
Computer Emergency Response Team Coordination Center del Software
EngineeringInstitute de la Carnegie Mellon University el cual es un centro de
alerta y reacción frente a los ataques informáticos, destinados a las empresas o
administradores, pero generalmente estas informaciones son accesibles a todo
el mundo.
España: Con el Instituto Nacional de Tecnologías de la Comunicación
(INTECO).
67
Seguridad Informática 2014
Unión Europea: Con el Centro Europeo de Ciberdelincuencia y es el punto
central de la lucha de la UE contra la delincuencia cibernética, contribuyendo a
una reacción más rápida a los delitos en línea.
Alemania: El Centro Nacional de Defensa Cibernética que se encuentra en
Bonn coopera estrechamente con la Oficina Federal para la Seguridad de la
Información, la Oficina Federal de Investigación Criminal; el Servicio Federal de
Inteligencia; el Servicio de Inteligencia Militar y otras organizaciones nacionales
en Alemania, con la tarea primordial de detectar y prevenir los ataques contra
la infraestructura nacional.
10. Perú
Grafico Nº 40 - Fuente: Internet.
En Perú, dos organismos asumen la responsabilidad principal en las iniciativas
vinculadas con la seguridad y delitos cibernéticos. El PeCERT, el equipo de
respuesta a incidentes de seguridad cibernéticos (CSIRT) peruano, se fundó en
2009 y es la principal entidad responsable de los asuntos relacionados con la
seguridad cibernética en Perú, incluidas la prevención y gestión de incidentes.
La investigación de los delitos cibernéticos y las responsabilidades
correspondientes le competen fundamentalmente a la División de Investigación
de Alta Tecnología (DIVINDAT), comprendida en la Dirección de Investigación
Criminal (DIRINCRI) de la Policía Nacional del Perú (PNP).
Si bien el PeCERT es un CSIRT operativo con responsabilidades a nivel
nacional, en la actualidad se encuentra abocado a la tarea de revisar y
68
Seguridad Informática 2014
actualizar sus mecanismos, procedimientos y políticas en materia de respuesta
ante incidentes.
Perú no posee una estrategia o política nacional oficial de seguridad
cibernética, pero actualmente trabaja en su elaboración.
Tanto la DIVINDAT como el PeCERT capacitan intensamente a su personal
con el fin de que desarrolle y mantenga la capacidad requerida para
desempeñar sus funciones básicas. La DIVINDAT, por ejemplo, informa que
lleva a cabo regularmente talleres orientados a actualizar los conocimientos y
las habilidades de su personal en lo que respecta al uso eficiente de
herramientas de análisis forense digital. Si bien se informó que en Perú existen
instituciones académicas que ofrecen programas degrado con
especializaciones en seguridad cibernética y delito cibernético, no se brindó
información acerca de si los funcionarios gubernamentales accedían a esas
oportunidades de formación.
En lo que atañe al aspecto legislativo, la reciente aprobación de tres leyes –la
Ley que Incorpora los Delitos Cibernéticos al Código Penal (Ley 27309), la Ley
de Protección de Datos Personales (Ley 29733) y la Ley de Delitos
Cibernéticos (Ley 30096)– ha fortalecido el marco jurídico con que cuenta el
país para promover la seguridad cibernética y combatir el delito cibernético. Se
encuentran en estudio otras modificaciones de leyes en vigor.
Las entidades del sector privado no tienen obligación de denunciar incidentes
cibernéticos ante las autoridades nacionales competentes. No obstante, el
PeCERT ha iniciado conversaciones orientadas a aumentar la colaboración con
el sector privado, en particular con ISP (proveedores de servicios de Internet) y
bancos. Esta iniciativa obedece, en parte, al reconocimiento de que las
empresas privadas suelen contar con mayor capacidad para detectar tráfico
inusual y ataques, así como con sistemas de gestión de la seguridad más
consolidados, y serían, por ese motivo, socios de inmenso valor en la labor de
asegurar la infraestructura nacional.
69
Seguridad Informática 2014
La colaboración y el intercambio de información con autoridades nacionales
competentes de otros países ha sido algo limitada; este es un aspecto que se
mencionó como una de las áreas en las que deberán implementarse nuevas
medidas en el futuro.
Tanto el PeCERT como la DIVINDAT indicaron que se encuentran activamente
abocados a mejorar la seguridad de la población a la que atienden, así como a
incrementar su capacidad de recuperación y resiliencia. Esas iniciativas
consisten en una combinación de medidas preventivas y reactivas.
En lo correspondiente a la prevención, se asignó prioridad fundamental a las
campañas educativas y de concientización internas y externas. Las campañas
de concientización internas conducidas dentro de las propias instituciones
incluyeron una variedad de actividades orientadas a lograr que los usuarios
comprendan conceptos que no siempre se asocian con la seguridad cibernética
pero que son clave para que exista, como por ejemplo la seguridad física,
seguridad lógica y la seguridad humana. Respecto de las actividades de
concientización externas, se llevaron a cabo campañas en los medios de
comunicación, y se efectuaron actividades de difusión de información y
educación en entidades del sector privado como bancos, servicios de
procesamiento de pagos y otras entidades empresariales y comerciales.
También se dirigieron campañas de concientización a la ciudadanía en general
en las que se enfatizaba la adopción de buenas prácticas básicas para reducir
la vulnerabilidad y proteger la propia identidad y los datos personales al usar
Internet y las TIC (tecnologías de la Información y la Comunicación).
La DIVINDAT solicita la ayuda de entidades extranjeras toda vez que es
apropiado. Asimismo, mantiene relaciones activas de cooperación con ONG
nacionales e internacionales dedicadas a la lucha contra los delitos cibernéticos
y otros actos ilícitos que involucren el uso de TIC (trata de personas,
prostitución, pornografía, tráfico de órganos, etc.) y apoya sus iniciativas.
El PeCERT y la DIVINDAT señalaron la existencia de diversos impedimentos
que deberán superarse con el fin de mejorar la posición del país en materia de
70
Seguridad Informática 2014
seguridad cibernética y mejorar su capacidad para combatir el delito
cibernético. Los obstáculos relativos al acceso a la información recibieron
particular atención, entre ellos la dificultad de obtener datos de los ISP u otros
proveedores de servicios de manera oportuna. También se indicaron como
impedimentos clave la insuficiencia de recursos y la falta de voluntad de
compartir información y cooperar por parte de otras instituciones
gubernamentales y privadas.
Los datos oficiales muestran que en 2013 se registró un incremento de
alrededor de 30% en la cantidad de incidentes cibernéticos denunciados ante
autoridades nacionales e identifican al sector empresarial, el académico, el de
las telecomunicaciones y el policial como los sectores más afectados de la
población, entre otras instituciones del sector público.
En 2013, se denunció una amplia variedad de delitos ante las autoridades; los
más comunes fueron: clonación de tarjetas de crédito, suplantación de
identidad, amenazas por correo electrónico, intrusión mediante hackeo o
crackeo, acceso no autorizado a bases de datos, extorsión por Internet,
chantaje sexual, operaciones financieras fraudulentas, pornografía infantil y
piratería de software. Las técnicas empleadas para perpetrar esas actividades
fueron tan variadas como los actos delictivos e incluyeron: intrusiones en
puntos de venta (PoS), ingeniería social, pharming (estafa a través de
ingeniería social y sitios fraudulentos), phishing (suplantación de identidad) y
malware (programas maliciosos).
La DIVINDAT informó que en 2013 se registraron varios incidentes de impacto
relativamente alto, a los cuales lograron responder con eficacia: la división
identificó, localizó y aprehendió a los culpables y los entregó a las autoridades
judiciales competentes. En un caso, el presidente de una institución estatal
recibía mensajes de correos electrónicos amenazantes y difamatorios.
Mediante la aplicación de técnicas forenses, el personal de la DIVINDAT logró
determinar el origen de los mensajes de correo electrónico e identificar el
remitente; a continuación, notificó a sus colegas de la Policía Nacional con el
71
Seguridad Informática 2014
fin de iniciar el procesamiento penal del infractor. El PeCERT, en otro caso,
respondió con éxito a un ataque (vandalismo) contra el portal web de la
Presidencia de la Nación: obtuvo acceso a la información pertinente, la analizó
y adoptó las medidas necesarias para restaurar su integridad.
CONCLUSIONES
Parece evidente concluir que la seguridad no es un pequeño apartado
más dentro de las tecnologías de la información, sino que debe
abarcarlas en su totalidad. Un buen plan de seguridad debe ser integral
o dejará de ser un plan de seguridad. Debe contar con todos los
recursos: organizativos, humanos, instalaciones, hardware, software,
además de partir de los niveles altos en la jerarquía de la organización.
En toda organización debe existir un equipo de expertos con sus
herramientas preventivas y de detección, así como con sus mecanismos
de recuperación y de auditoría. El mundo de la seguridad es algo vivo
que debe ser continuamente evaluado y actualizado.
Si bien día a día aparecen nuevos y complejos tipos de incidentes, aún se registran fallas de seguridad de fácil resolución técnica, las cuales ocurren en muchos casos por falta de conocimientos sobre los riesgos que acarrean. Por otro lado, los incidentes de seguridad impactan en forma cada vez más directa sobre las personas. En consecuencia, se requieren efectivas acciones de concientización, capacitación y difusión de mejores prácticas.
Es necesario mantener un estado de alerta y actualización permanente: la seguridad es un proceso continuo que exige aprender sobre las propias experiencias.
72
Seguridad Informática 2014
Las organizaciones no pueden permitirse considerar la seguridad como un proceso o un producto aislado de los demás. La seguridad tiene que formar parte de las organizaciones.
Debido a las constantes amenazas en que se encuentran los sistemas, es necesario que los usuarios y las empresas enfoquen su atención en el grado de vulnerabilidad y en las herramientas de seguridad con las que cuentan para hacerle frente a posibles ataques informáticos que luego se pueden traducir en grandes pérdidas.
La falta de cultura informática es un factor crítico en el impacto de los delitos informáticos en la sociedad en general, cada vez se requieren mayores conocimientos en tecnologías de la información, las cuales permitan tener un marco de referencia aceptable para el manejo de dichas situaciones.
Nuevas formas de hacer negocios como el comercio electrónico puede que no encuentre el eco esperado en los individuos y en las empresas hacia los que va dirigido ésta tecnología, por lo que se deben crear instrumentos legales efectivos que ataquen ésta problemática, con el único fin de tener un marco legal que se utilice como soporte para el manejo de éste tipo de transacciones.
73
Seguridad Informática 2014
RECOMENDACIONES
Actualice regularmente su sistema operativo y el software instalado en su equipo, poniendo especial atención a las actualizaciones de su navegador web. Estar al día con las actualizaciones, así como aplicar los parches de seguridad recomendados por los fabricantes, le ayudará a prevenir la posible intrusión de hackers y la aparición de nuevos virus.
Instale un Antivirus y actualícelo con frecuencia. Analice con su antivirus todos los dispositivos de almacenamiento de datos que utilice y todos los archivos nuevos, especialmente aquellos archivos descargados de internet.
Instale un Firewall o Cortafuegos con el fin de restringir accesos no autorizados de Internet.
Utilice contraseñas seguras, es decir, aquellas compuestas por ocho caracteres, como mínimo, y que combinen letras, números y símbolos. Es conveniente además, que modifique sus contraseñas con frecuencia. En especial, le recomendamos que cambie la clave de su cuenta de correo si accede con frecuencia desde equipos públicos.
Navegue por páginas web seguras y de confianza. Para diferenciarlas identifique si dichas páginas tienen algún sello o certificado que garanticen su calidad y fiabilidad. Extreme la precaución si va a realizar compras online o va a facilitar información confidencial a través de internet.
74
Seguridad Informática 2014
Ponga especial atención en el tratamiento de su correo electrónico, ya que es una de las herramientas más utilizadas para llevar a cabo estafas, introducir virus, etc.
No abra mensajes de correo de remitentes desconocidos.
Desconfíe de aquellos e-mails en los que entidades bancarias, compañías de subastas o sitios de venta online, le solicitan contraseñas, información confidencial, etc.
No propague aquellos mensajes de correo con contenido dudoso y que le piden ser reenviados a todos sus contactos. Este tipo de mensajes, conocidos como hoaxes, pretenden avisar de la aparición de nuevos virus, transmitir leyendas urbanas o mensajes solidarios, difundir noticias impactantes, etc.
En general, es fundamental estar al día de la aparición de nuevas técnicas que amenazan la seguridad de su equipo informático, para tratar de evitarlas o de aplicar la solución más efectiva posible.
Aumentar la conciencia sobre los hábitos cibernéticos y la sensibilidad general hacia la seguridad cibernética entre los usuarios finales, los operadores de infraestructuras críticas y los funcionarios gubernamentales. Esto dificultará que los delincuentes cibernéticos perpetren ataques que han sido comunes contra estos tres grupos. La sensibilización puede ser una de las maneras más baratas y eficaces de minimizar los riesgos a la seguridad cibernética y cerrar las brechas de seguridad que siguen estando totalmente abiertas.
Invertir y promover la matriculación en programas de formación técnica. La protección de redes gubernamentales y privadas requiere conocimientos técnicos difíciles de adquirir a corto plazo. Junto con las campañas de sensibilización en las escuelas, las instituciones académicas necesitan esforzarse más para atraer estudiantes hacia los itinerarios formativos en ciencias informáticas y seguridad informática. Esto asegurará que se disponga de un gran acervo de candidatos calificados del cual extraer a los profesionales que se requerirán para cubrir el número creciente de carreras profesionales en seguridad informática.
75
Seguridad Informática 2014
Seguir fortaleciendo los mecanismos de política para asignar funciones y responsabilidades gubernamentales relacionadas con la seguridad cibernética y codificar mecanismos de intercambio de información y cooperación. Esta labor se ha iniciado ya, pero es hora de que todos los Estados reflexionen estratégicamente sobre cómo desarrollarán sus regímenes de seguridad cibernética, hacia dónde enfocarán sus esfuerzos y cómo convertirán sus visiones en realidades.
ANEXOS
Nota de prensa
Piratas informáticos peruanos son los más hábiles y exitosos de Sudamérica
Sábado, 06 de septiembre del 2014
Además de intervenir las redes del gobierno de Perú y destapar casos como los Cornejoleaks, también lograron extraer información gubernamental de Argentina, Chile, Colombia y Venezuela.
Un grupo de piratas informáticos peruanos se ha infiltrado a las redes de las fuerzas armadas y la policía de su país, así como de otras agencias gubernamentales en Argentina, Colombia, Chile y Venezuela, desarticulándolas y extrayéndoles datos delicados para lucir su destreza cibernética y apuntarse puntos políticos.
Sin embargo, su proeza más reciente podría ser la que tenga más consecuencias.
Los correos electrónicos robados por los intrusos del grupo LulzSecPeru a la red del Consejo de Ministros Peruanos y divulgados en internet el mes pasado desataron acusaciones de que altos ministros del gabinete han actuado más como cabilderos industriales que como servidores públicos. Ayudaron a precipitar un voto de no confianza la semana pasada al que apenas pudo sobrevivir el gabinete.
76
Seguridad Informática 2014
Los piratas integran una versión local y compacta del colectivo de intrusos cibernéticos LulzSec, con sede en Estados Unidos y Gran Bretaña, que agrupa a los llamados piratas de “sombrero negro”, los cuales violan la seguridad de las computadoras simplemente por superar un reto, o también para obtener ganancias personales.
El grupo LulzSec surgió del movimiento Anonymous, que ha atacado los sistemas de la Iglesia de la Cienciología y ha promovido agitación en favor de la filtración de documentos del escándalo WikiLeaks y del movimiento Ocupemos Wall Street.
Gran parte del activismo de los piratas cibernéticos fuera de Estados Unidos y Europa occidental ha perdido fuerza o se ha visto obligado a operar en la clandestinidad después de enfrentar presión policial y arrestos, dijo Gabriella Coleman, antropóloga en la Universidad McGill, en Montreal, Canadá, quien ha estudiado el fenómeno.
“Sin embargo, los piratas informáticos en Latinoamérica nunca se detuvieron realmente”, señaló Coleman.
De ellos, LulzSecPeru es considerado ampliamente como el equipo de piratas activistas más hábil y con más éxitos en la región, dijo Camilo Galdós, experto peruano en seguridad digital. Uno de sus actos más notorios fue secuestrar las cuentas en Twitter del presidente venezolano y del gobernante Partido Socialista Unido de Venezuela durante las elecciones en ese país el año pasado.
“Happy hunting!” (¡feliz cacería!) escribieron los piratas informáticos de LulzSecPeru —se dice que son dos hombres jóvenes— el mes pasado cuando colocaron en internet los aproximadamente 3.500 correos electrónicos del entonces primer ministro René Cornejo, fechados de febrero a julio.
“La preocupación no es tanto por la información que se va a encontrar allí, sino por el hecho que se ha vulnerado la privacidad”, declaró Cornejo a periodistas. Su sucesora, Ana Jara, dijo que algunos de los correos robados podrían haber tocado asuntos de “defensa nacional”.
Pero lo que el público halló en ellos fue evidencia de la influencia de los cabilderos de las industrias peruanas de la pesca y el petróleo, lo que generó una enorme presión sobre los ministros de Energía y de Finanzas.
77
Seguridad Informática 2014
En una de las misivas, una ejecutiva de la pesca le pregunta al ministro de Finanzas si podría ampliarse la temporada de extracción de la anchoveta. Posteriormente ve concedido su deseo.
El ministro de Energía, en un irritado intercambio de correos, rechaza impacientemente las objeciones del ministro del Medio Ambiente en torno a sus cálidas relaciones con una compañía petrolera australiana con relación a concesiones para extraer crudo del mar. Los técnicos de la industria petrolera —no los reguladores— son los mejor capacitados para determinar si se requieren estudios de impacto ambiental para las pruebas sísmicas de exploración, afirma el ministro de Energía.
El espectáculo de los “CornejoLeaks”, como los apodó la prensa, les agradó mucho a los piratas informáticos.
“Nosotros estamos metidos en todo”, alardeó uno de los dos, apodado Cyber-Rat (rata cibernética), en una charla encriptada en línea con The Associated Press a la que llegó por medio de un túnel informático, con lo cual ocultó sus huellas digitales. “No hay límites en el hacking (piratería informática)”.
Cyber-Rat dice tener 17 años y asegura que dejará la piratería antes de convertirse en adulto con el fin de evitar ir a la cárcel. Se encarga de la labor intrusiva en las redes sociales, cultiva la relación con los activistas de Anonymous que ayudan a dar publicidad a los logros de LulzSecPeru y admite tener una tendencia “al narcisismo”.
Su socio lleva el apodo de Desh501, dice tener entre 19 y 23 años y ser estudiante universitario. Desh es el experto tecnológico, y es más reservado.
“Soy muy cerrado. No tengo amigos hackers en persona, sólo virtualmente”, escribe.
Ambos dicen ser autodidactas. Cyber-Rat señala que comenzó a programar a los 8 años, mientras que Desh empezó a los 6.
Cyber-Rat menciona que su labor de piratería no está realmente impulsada por alguna ideología.
“Es una búsqueda del éxtasis de hacer algo sin precedentes”, afirmó, refiriéndose al hecho de avergonzar a administradores de redes que dicen que éstas son a prueba de todo.
Sin embargo, las acciones de estos piratas no siempre concuerdan con esa afirmación.
78
Seguridad Informática 2014
Desh dijo estar motivado por objeciones a “1. el abuso de poder”, y “2. la falta de transparencia”.
Es evidente que algunas de sus acciones están impulsadas por móviles políticos. Le quitaron la fachada al cibersitio de la mina de cobre Antamina en 2012, ubicada en Perú, después de que una tubería de ese consorcio multinacional se rompió, lo que derivó en que enfermaran decenas de personas. Fue idea de Rat, dijo Desh.
Y en febrero también le retiraron la fachada al cibersitio del partido gobernante de Venezuela en respaldo de los manifestantes antigubernamentales, al cual ingresaron a través de una de las puertas traseras que dicen dejar en las redes que penetran.
Desh indicó que también retienen el acceso a la fuerza aérea chilena, de la que este mes retiraron documentos delicados sobre compra de armas, los cuales colocaron en internet. Dijeron que se trataba de una represalia por el hecho de que Chile hubiera espiado a la fuerza aérea peruana en un caso que salió a la luz en 2009.
Los piratas cibernéticos, que tienen 30.000 seguidores en Twitter, dicen que ni se enriquecen ni hacen daño con sus proezas.
Pero muchos creen que LulzSecPeru sí hizo daño al ingresar a la red de la compañía que maneja el principal dominio de Perú. En octubre de 2012 colocó en internet una base de datos con miles de nombres, números telefónicos, direcciones de correo electrónico y contraseñas de sitios afectados, incluidos bancos, compañías de seguridad, el buscador Google… de todos los dominios que concluían con “.pe”.
Desh dijo que Rat lo hizo sin consultarlo.
“Ese día casi lo mato”, se quejó.
Erick Iriarte, un representante empresarial y destacado activista peruano de internet, dijo que dicha filtración ocurrió bastante antes de que esa información fuera colocada en línea, por lo que se le avisó a los clientes a tiempo para que modificaran sus contraseñas. Desh confirmó que el ingreso ilegal ocurrió seis semanas antes de que los datos fueran subidos a la red mundial.
En toda Latinoamérica, los trabajadores estatales suelen considerar que las redes operadas por los gobiernos son inseguras y poco confiables. Un sorprendente número de altos funcionarios utilizan servicios privados de correo electrónico en lugar de dichas redes.
79
Seguridad Informática 2014
Las autoridades peruanas consideran a LulzSecPeru como un grupo de piratas cibernéticos y dicen que sus miembros podrían enfrentar hasta ocho años de cárcel bajo el nuevo estatuto.
Pero primero deben ser capturados, y expertos independientes de seguridad dicen que la capacidad técnica de la policía cibernética peruana está muy por debajo de la de ellos. La primera acción de LulzSecPeru que lo arrojó a la fama fue penetrar la red de dicha policía a principios de 2012. El grupo pirata dice que aún tiene acceso por una puerta trasera oculta.
El comandante de la unidad, coronel Carlos Salvatierra, consideró que dichas críticas son infundadas. No quiso entrar en detalles sobre la investigación a LulzSecPeru, pero dijo que incluye “coordinación permanente” con otros gobiernos afectados y comenzó hace meses.
El apodo LulzSec fusiona “lulz”, que se deriva de LOL (siglas en inglés de riendo a carcajadas) y evoca en parte el deleite malicioso de los piratas cibernéticos que dejan expuestas las fallas de seguridad (“sec”). Y no hay mayor “lulz” para el par que burlarse de Roberto Puyo, jefe de tecnología del Consejo de Ministros de Perú y presidente del capítulo peruano de la Asociación de Seguridad Informática Internacional, el grupo más importante del país en ciberseguridad.
Puyo no respondió a llamadas telefónicas ni correos electrónicos en los que se le solicitaban una explicación sobre cómo fue violada su red.
Desh dijo que lograr ingresar le llevó un mes. Indicó que posteriormente canalizó una copia exacta de todo el tránsito a un servidor externo durante casi un mes, proceso en el que también capturó la contraseña del correo electrónico de Cornejo. Dijo también que la cuenta del ex primer ministro en Gmail estaba vinculada con la cuenta de correo oficial que Cornejo tenía, y que el intruso cibernético pudo penetrarla a través de un espejo de ella en la red.
Rat dijo que por ahora el grupo se mantiene alejado de la red del Consejo de Ministros, ya que por el momento tiene “tarros de miel”: trampas diseñadas para intentar capturarlos.
Ambos piratas dicen tener confianza en que hacen desaparecer sus huellas lo suficiente. Y señalan que no tientan al destino, por lo cual no atacan redes del gobierno estadounidense, ya que no quieren que el FBI los persiga.
“No me preocupo mucho”, afirmó Desh. “Aunque tampoco elimino la opción de que me atrapen”.
80
Seguridad Informática 2014
“Nadie es invencible”, agregó.
Nota de prensa
1 de cada 3 empresas peruanas ha sufrido ataques cibernéticos
Lima, 19 de marzo de 2014
Los ataques cibernéticos son un claro y real peligro que no se puede ignorar.
EY realizó una encuesta anual de seguridad de información a nivel mundial, la
cual indica que existe una latente preocupación por eventuales ataques
cibernéticos en las empresas, derivados del uso de nueva tecnología de
cómputo y comunicaciones. En el Perú, las empresas se ven claramente
afectadas, se estima que 1 de cada 3 empresas han sufrido algún ataque
cibernético durante el 2013.
Para vencer este tipo de ataques cibernéticos, EY recomienda que la alta
gerencia en las empresas se involucre y tome real conciencia del impacto de la
seguridad informática en las organizaciones, de la mano un presupuesto
adecuado para invertir en los elementos de control y seguridad de información
que le permitan salvaguardar la información de la empresa. Elementos tales
como un firewall para comunicaciones en el internet, programas antivirus y una
81
Seguridad Informática 2014
topología de red con servidores y software de identificación de intrusión son
una necesidad real.
Sólo el 10% de las empresas encuestadas presentaba un área de seguridad
con reporte directo a la gerencia general; 28% reportó contar con un gobierno
y gestión de seguridad de información; y un 14% mantiene una gestión de
seguridad mayormente técnica a nivel de operaciones.
La Gerencia General debe entender las amenazas a las que se encuentra
expuesta su organización por la tecnología de cómputo y comunicaciones que
usa en su negocio, para poder decidir la prioridad de las iniciativas y las
inversiones vinculadas a ellas. Los ataques cibernéticos son un claro y real
peligro que no se puede ignorar.
Un resultado que se mantiene igual en los últimos tres años es que más de la
mitad de los encuestados (65%) reporta que las restricciones presupuestales
siguen siendo el principal obstáculo para el desarrollo de esquemas de
seguridad de información en la empresa. 45% de los encuestados reporta que
planean orientar iniciativas para mitigar las vulnerabilidades relacionadas con el
uso de computación móvil y el efecto del uso de los equipos personales
(smartphones) en el entorno de la empresa. En general, la mayor amenaza
identificada por los encuestados es el phishing y el malware; 31% indica que se
ha incrementado el número de incidentes en los últimos 12 meses.
82
Seguridad Informática 2014
REFERENCIAS REFERENCIAS WEBGRAFICAS:
El portal de ISO 27001 en Español: http://www.iso27000.es/sgsi.html
http://seguridadinformaticaufps.wikispaces.com/Politicas,
+Planes+y+Procedimientos+de+Seguridad
http://www.ilustrados.com/tema/4924/Politicas-procedimientos-
seguridad-informacion.html, Autor: Victor E. Cappuccio, 2002
http://www.inteco.es/blogs/post/Seguridad/BlogSeguridad/
Articulo_y_comentarios/
Politicas_normas_procedimientos_de_seguridad_y_otros_documentos_
de_un_SGSI, Autor: Javier Cao Avellaneda. 2008
http://www.monografias.com/trabajos82/la-seguridad-informatica/la-
seguridad-informatica2.shtml#ixzz3Cwrd8ZlF
83
Seguridad Informática 2014
http://www.slideshare.net/guest8d2f0a/seguridad-informatica-3261911?
src=related_normal&rel=2573451
http://www.sitiosargentina.com.ar/webmaster/cursos%20y
%20tutoriales/que_es_un_antivirus.htm
http://www.segu-info.com.ar/fisica/seguridadfisica.htm
http://www.segu-info.com.ar/articulos/2-porque-caen-password-clave.htm
http://www.slideshare.net/saintmanios/8-seguridad-informatica-
presentation-633705
http://www.seguridad.unam.mx/eventos/adminunam/
politicas_seguridad.pdf
BIBLIOGRAFÍAS:
Computación aplicada a contabilidad, administración y economía, tema:
seguridad informática, autor: Leonardo senamayans, Julio 2000.
Texto Introducción a la informática –George Beekman
ASPECTOS TÉCNICOS DE LA SEGURIDAD EN LA INFORMACIÓN
SANITARIA, autores:
- Jokin Sanz Ureta Jefe de la Sección de Sistemas Gobierno de Navarra
- Sebastián Hualde Tapia Director de Servicio de Organización y Planificación
de la Información Gobierno de Navarra
84