Seguridad Informatica-grupo 3

2014

AUDITORÍA DE TECNOLOGÍAS DE LA INFORMACIÓN

SEGURIDAD INFORMÁTICA

PROFESOR:

Pastor Carrasco, Carlos Alberto

ALUMNAS:

Asencios Loarte, Claudia. 11110377

Guevara Camacho, Yoselin. 11110334

Omonte Tello, Anali. 11110278

Soto Mejía, Patricia . 11110291

TiconaCoarite, Bertha . 11110292

AULA: 312 – N

Universidad Nacional Mayor de San Marcos

Facultad de ciencias Contables

Seguridad Informática 2014

DEDICADO A: Nuestros profesores

porque son guías en el aprendizaje,

brindándonos los actuales conocimientos

para nuestro buen desenvolvimiento en la sociedad y a nuestros padres maravillosos,

quienes nos apoyan en

1


INTRODUCCIÓN

En un mundo interconectado, es necesario buscar un equilibrio entre

disfrutar la comodidad que ofrecen las tecnologías de la información y

minimizar las oportunidades que su uso les ofrece a los delincuentes

cibernéticos, quienes pueden, por ejemplo, difundir amenazas complejas

explotando los populares dispositivos móviles y las aplicaciones en la nube

para infiltrarse en blancos de alto valor y han convertido el espacio cibernético

en un medio para victimizar al público.

El acceso no autorizado a una red informática o a los equipos que en

ella se encuentran puede ocasionar en la gran mayoría de los casos graves

problemas.

Para lograr sus objetivos la seguridad informática se fundamenta en tres

principios, que debe cumplir todo sistema informático:

Confidencialidad: Se refiere a la privacidad de los elementos de

información almacenados y procesados en un sistema informático. Basándose

en este principio, las herramientas de seguridad informática deben proteger el

sistema de invasiones y accesos por parte de personas o programas no

autorizados.

Integridad: Se refiere a la validez y consistencia de los elementos de

información almacenados y procesador en un sistema informático. Basándose

en este principio, las herramientas de seguridad informática deben asegurar

que los procesos de actualización estén bien sincronizados y no se dupliquen.

Disponibilidad: Se refiere a la continuidad de acceso a los elementos de

información almacenados y procesados en un sistema informático. Basándose

en este principio, las herramientas de seguridad informática deber reforzar la

permanencia del sistema informático, en condiciones de actividad adecuadas

para que los usuarios accedan a los datos con la frecuencia y dedicación que

requieran.

En el presente trabajo monográfico hablaremos sobre la importancia de

seguridad informática, haremos referencias sobre a las formas que existen para

2


proteger los sistemas informáticos y la información que contienen sobre

accesos no autorizados, daños, modificaciones o destrucciones.

INDICE

1. Concepto, principios y Objetivos 4

2. Amenazas 72.1Ingeniería Social 92.2Tipos de amenaza 92.3Amenaza informática del futuro 11

3. Análisis de riesgos 113.1 Elementos de un análisis de riesgo 12

4. Análisis de impacto al negocio 28

5. Puesta en marcha de una política de seguridad 29

6. Técnicas para asegurar el sistema 30 6.1 Respaldo de información 42

6.2 Protección contra virus 446.2.1 Control del software instalado6.2.2 Control de la red

6.3 Protección física de acceso a las redes 496.3.1 Redes cableadas6.3.2 Redes inalámbricas

6.4 Sanitización 50

7. Algunas afirmaciones erróneas comunes acerca de la seguridad 50 8. Actores que amenazan la seguridad 52

9. Medios de transmisión de ataques a los sistemas de seguridad 61

10. Organismos oficiales de seguridad informática 63

11. Conclusiones 68

12. Recomendaciones 70

13. Anexos 72

3

Prevencion de divulgaciòn no autorizada de los datos.

confidencialidad

Prevencion de modificaciones no autorizadas a los datos.

IntegridadPrevencion de interrupciones no autorizadas de los recursos informaticos

Disponibilidad


13. Referencias 79

SEGURIDAD INFORMÁTICA

1. Concepto, principios y Objetivos.

La seguridad informática o seguridad de tecnologías de la información es el

área de la informática que se enfoca en la protección de la infraestructura

computacional y todo lo relacionado con esta y, especialmente, la información

contenida o circulante.

Para ello existen una serie de estándares, protocolos, métodos, reglas,

herramientas y leyes concebidas para minimizar los posibles riesgos. Para

poder empezar a analizar la seguridad debemos conocer los principales

objetivos de la seguridad.

4


Cuadro Nª 1 - Fuente: Elaboración Propia.

Para poder alcanzar estos objetivos la empresa debe contar con

procedimientos de seguridad de información adecuados, formalmente definidos

y ampliamente divulgados.

1.1 Concepto.

Existen diferentes definiciones de Seguridad Informática tales como:

a. Seguridad informática surgen como una herramienta organizacional para

concientizar a cada uno de los miembros de una organización sobre la

importancia y la sensibilidad de la información y servicios críticos que

favorecen el desarrollo de la organización y su buen funcionamiento.

(Manual de Seguridad en Redes de la Administración Pública Argentina,

2011).

b. La seguridad informática puede definirse como el conjunto de reglas,

planes y acciones que permiten asegurar la información contenida en un

sistema computacional o la capacidad de mantener intacta y protegida la

información de sistemas informáticos, permitiendo asegurar que los

recursos del sistema de información generalmente (material informático

o programas) de una organización sean utilizados de manera que no sea

fácil de acceder por cualquier persona que no se encuentre acreditada.

(Conferencias de Seguridad Informática, 2012).

c. La seguridad informática puede ser definida, básicamente, como la

preservación de la confidencialidad, la integridad y la disponibilidad de

los sistemas de información. (Departamento de Sistemas y Computación

Instituto Tecnológico de Morelia, 2010).

d. Seguridad Informática: Conjunto de soluciones Técnicas, Organizativas,

Legales y Educativas al problema, con el fin de minimizar los Riesgos y

los Costos (dinero, tiempo, recursos) que acarrean la pérdida, la

5


modificación y la propagación no deseada de información de alto valor

para su poseedor. (Curso de Seguridad Informática de la Entidad

Seguridad del Ministerio de Informática y Comunicaciones de Cuba,

2012).

De los anterior, se puede extraer que la seguridad Informática es el conjunto

de medidas (administrativas, organizativas, físicas, técnicas legales y

educativas) con un enfoque integral y en sistema, dirigidas a prevenir, detectar

y responder a las acciones que pongan en riesgo la integridad, confidencialidad

y disponibilidad, de la informatización que se procesa, intercambie, reproduzca

o conserve a través de las tecnologías informáticas.

Cuadro Nª 2 - Fuente: Seguridad como encargo social- Wikipedia.

Además; hay que tener en cuenta que el concepto de seguridad de la

información no debe ser confundido con el de «seguridad informática», ya que

este último solo se encarga de la seguridad en el medio informático, pero la

información puede encontrarse en diferentes medios o formas, y no solo en

medios informáticos.

6


1.2 Principios - Normas.

La seguridad informática es la disciplina que se ocupa de diseñar las normas;

al establecer normas que minimicen los riesgos a la información o

infraestructura informática se pueden incluir horarios de funcionamiento,

restricciones a ciertos lugares, autorizaciones, denegaciones, perfiles de

usuario, planes de emergencia, protocolos y todo lo necesario que permita un

buen nivel de seguridad informática minimizando el impacto en el desempeño

de los trabajadores y de la organización en general y como principal

contribuyente al uso de programas.

1.3 Objetivos

Las medidas y controles se aseguran la confidencialidad, integridad, etc;

analizando este aspecto los objetivos son:

Gráfico Nª 3 - Fuente: Seguridad como encargo social- Wikipedia.

a. Confidencialidad: Consiste en la capacidad de garantizar que la

informacion almacenada en el sistema informatico o transmitida por la

7


red, solamente va a estar disponible para aquellas personas autorizadas

a acceder a dicha informacion.

b. Disponibilidad: La definiremos como la capacidad de garantizar que

tanto el sistema como los datos van a estar disponibles al usuario en

todo momento.

c. Integridad: Diremos que es la capacidad de garantizar que los datos no

han sido modificados desde su creacion sin autorizacion.

d. No Repudio: Este objetivo garantiza la participacion de las partes en

una comunicación.

2. Amenazas.

Algunos hechos de importancia dentro de la seguridad informática son las

amenazas al sistema; partiremos del hecho que, en la mayoría de casos, los

usuarios de los sistemas son inconscientes de los riesgos a los que exponen la

información. A veces por desconocimiento o desobediencia, los usuarios

hacen procedimientos no autorizados peligrosos, y no logran comprender el

impacto del posible daño que pueden causar, es por eso que en esta área,

debe trabajarse contantemente.

Las directivas, procedimientos y concientización es esencial para estar al tanto

de las amenazas; para que puedan ser aplicadas en cualquier posible

escenario y en las distintas plataformas, marcas o tipos de sistemas que se

tengan en la organización. A continuación veamos la manera de enfrentar las

amenazas en las organizaciones.

Las amenazas pueden ser causadas por:

a. Usuarios: causa del mayor problema ligado a la seguridad de un

sistema informático. En algunos casos sus acciones causan problemas

de seguridad, si bien en la mayoría de los casos es porque tienen

8


permisos sobre dimensionados, no se les han restringido acciones

innecesarias, etc.

b. Programas maliciosos: programas destinados a perjudicar o a hacer

un uso ilícito de los recursos del sistema. Es instalado (por inatención o

maldad) en el ordenador, abriendo una puerta a intrusos o bien

modificando los datos.

c. Errores de programación: La mayoría de los errores de programación

que se pueden considerar como una amenaza informática es por su

condición de poder ser usados como exploits por los crackers, aunque

se dan casos donde el mal desarrollo es, en sí mismo, una amenaza.

d. Intrusos: persona que consiguen acceder a los datos o programas a los

cuales no están autorizados.

e. Un siniestro (robo, incendio, inundación): una mala manipulación o

una mala intención derivan a la pérdida del material o de los archivos.

f. Personal técnico interno: técnicos de sistemas, administradores de

bases de datos, técnicos de desarrollo, etc. Los motivos que se

encuentran entre los habituales son: disputas internas, problemas

laborales, despidos, fines lucrativos, espionaje, etc.

g. Fallos electrónicos ológicos: de los sistemas informáticos en general.

h. Catástrofes naturales: rayos, terremotos, inundaciones, rayos

cósmicos, etc.

2.1 Ingeniería Social.

Existen diferentes tipos de ataques en Internet como virus, troyanos u otros,

dichos ataques pueden ser contrarrestados o eliminados pero hay un tipo de

ataque, que no afecta directamente a los ordenadores, sino a sus usuarios,

conocidos como “el eslabón más débil”.

Dicho ataque es capaz de conseguir resultados similares a un ataque a través

de la red, saltándose toda la infraestructura creada para combatir programas

maliciosos. Además, es un ataque más eficiente, debido a que es más

complejo de calcular y prever.

9

Amenazas internas

Generalmente estas amenazas pueden ser

más serias que las externas.

Los usuarios o personal técnico, conocen la red y

saben cómo es su funcionamiento, ubicación de la información, etc. Por

ello la seriedad de la amenaza.

Amenazas externas

Son aquellas amenazas que se originan fuera de la red. Al no tener

información certera de la red, un atacante tiene que realizar ciertos

pasos para poder conocer y buscar la manera de atacarla.

La ventaja que se tiene en este caso es que el

administrador de la red puede prevenir una buena

parte de los ataques externos.


Se pueden utilizar infinidad de influencias psicológicas para lograr que los

ataques a un servidor sean lo más sencillo posible, ya que el usuario estaría

inconscientemente dando autorización para que dicha inducción se vea

finiquitada hasta el punto de accesos de administrador.

2.2. Tipos de amenaza.

Existen infinidad de modos de clasificar un ataque y cada ataque puede recibir

más de una clasificación.

2.2.1 Amenazas por el origen.

El hecho de conectar una red a un entorno externo nos da la posibilidad de que

algún atacante pueda entrar en ella, con esto, se puede hacer robo de

información o alterar el funcionamiento de la red. Sin embargo el hecho de que

la red no esté conectada a un entorno externo, como Internet, no nos garantiza

la seguridad de la misma. Basado en el origen del ataque podemos decir que

existen dos tipos de amenazas:

10


Cuadro Nº 4 - Fuente: Elaboración Propia.

2.2.2 Amenazas por el efecto.

El tipo de amenazas por el efecto que causan a quien recibe los ataques podría

clasificarse en:

Robo de información.

Destrucción de información.

Anulación del funcionamiento de los sistemas o efectos que tiendan a

ello.

Suplantación de la identidad, publicidad de datos personales o

confidenciales, cambio de información, venta de datos personales, etc.

2.2.3 Amenazas por el medio utilizado.

Se pueden clasificar por el modus operandi del atacante, si bien el efecto

puede ser distinto para un mismo tipo de ataque. Los virus informáticos que

tienen por objeto alterar el normal funcionamiento de la computadora, sin el

permiso o el conocimiento del usuario.

Los virus, habitualmente, reemplazan archivos ejecutables por otros infectados

con el código de este; se pueden destruir, de manera intencionada, los datos

almacenados en una computadora.

2.3 Amenaza informática del futuro.

Si en un momento el objetivo de los ataques fue cambiar las plataformas

modalidad es manipular los certificados que contienen la información digital.

Las amenazas informáticas que vienen en el futuro ya no son con la inclusión

11


de troyanos en los sistemas o software espías, sino con el hecho de que los

ataques se han profesionalizado y manipulan el significado del contenido

virtual.

Para no ser presa de esta nueva ola de ataques más sutiles, se recomienda:

Mantener las soluciones activadas y actualizadas.

Evitar realizar operaciones comerciales en computadoras de uso público

o en redes abiertas.

Verificar los archivos adjuntos de mensajes sospechosos y evitar su

descarga en caso de duda.

3. GESTIÓN DE RIESGO EN LA SEGURIDAD INFORMÁTICA

La Gestión de Riesgo es un método para determinar, analizar, valorar y

clasificar el riesgo, para posteriormente implementar mecanismos que permitan

controlarlo.


En su forma general contiene cuatro fases:

Gestión de

riesgo

Análisis de riesgo

Clasificación de riesgo

Reducción de riesgo

Control de riesgo

12


Análisis: Determina los componentes de un sistema que requiere

protección, sus vulnerabilidades que lo debilitan y las amenazas que lo

ponen en peligro, con el resultado de revelar su grado de riesgo.

Clasificación: Determina si los riesgos encontrados y los riesgos

restantes son aceptables.

Reducción: Define e implementa las medidas de protección. Además

sensibiliza y capacita los usuarios conforme a las medidas.

Control: Analiza el funcionamiento, la efectividad y el cumplimiento de

las medidas, para determinar y ajustar las medidas deficientes y

sanciona el incumplimiento.

Todo el proceso está basado en las llamadas políticas de seguridad, normas y

reglas institucionales, que forman el marco operativo del proceso, con el

propósito de

Potenciar las capacidades institucionales, reduciendo la vulnerabilidad y

limitando las amenazas con el resultado de reducir el riesgo.

Orientar el funcionamiento organizativo y funcional.

Garantizar comportamiento homogéneo.

Garantizar corrección de conductas o prácticas que nos hacen

vulnerables.

Conducir a la coherencia entre lo que pensamos, decimos y hacemos.

3.1 Análisis de riesgo

El primer paso en la Gestión de riesgo es el análisis de riesgo que tiene como

propósito determinar los componentes de un sistema que requieren protección,

sus vulnerabilidades que los debilitan y las amenazas que lo ponen en peligro,

con el fin de valorar su grado de riesgo.

Clasificación y Flujo de Información:

13

http://protejete.wordpress.com/glosario/#gdr



La clasificación de datos tiene el propósito de garantizar la protección de datos

personales y significa definir, dependiendo del tipo o grupo de personas

internas y externas, los diferentes niveles de autorización de acceso a los datos

e informaciones. Considerando el contexto de nuestra misión institucional,

tenemos que definir los niveles de clasificación como por ejemplo: confidencial,

privado, sensitivo y público. Cada nivel define por lo menos el tipo de persona

que tiene derecho de acceder a los datos, el grado y mecanismo de

autenticación.

Una vez clasificada la información, tenemos que verificar los diferentes flujos

existentes de información internos y externos, para saber quiénes tienen

acceso a qué tipo de información y datos.

Clasificar los datos y analizar el flujo de la información a nivel interno y externo

es importante, porque ambas cosas influyen directamente en el resultado del

análisis de riesgo y las consecuentes medidas de protección. Porque solo si

sabemos quiénes tienen acceso a qué datos y su respectiva clasificación,

Confidencial (acceso restringido: personal interno autorizado)Privado (acceso restringido: personal interno)Sensitivo (acceso controlado: personal interno, público externo con permiso)Público

Identificar tipo de datos e información

y clasificarlo

Observar cúales instancias manejan la información.Identificar grupos externos que dependen o están interesados en la información.Determinar si se deben efectuar cambios en el manejo de la información.

Análisis de flujo de información

14


podemos determinar el riesgo de los datos, al sufrir un daño causado por un

acceso no autorizado.

Cuadro Nº 7 - Fuente: Internet.

Existen varios métodos de como valorar un riesgo y al final, todos tienen los

mismos retos las variables son difíciles de precisar y en su mayoría son

estimaciones y llegan casi a los mismos resultados y conclusiones.

En el ámbito de la Seguridad Informática, el método más usado es el Análisis

de Riesgo. La valoración del riesgo basada en la fórmula matemática:

Para la presentación del resultado (riesgo) se usa una gráfica de dos

dimensiones, en la cual, el eje-x (horizontal, abscisa) representa la

“Probabilidad de Amenaza” y el eje-y (vertical, ordenada) la “Magnitud de

Daño”. La Probabilidad de Amenaza y Magnitud de Daño pueden tomar

condiciones entre Insignificante (1) y Alta (4). En la práctica no es necesario

asociar valores aritméticos a las condiciones de las variables, sin embargo

facilita el uso de herramientas técnicas como hojas de cálculo.

Riesgo = Probabilidad de Amenaza x Magnitud de Daño

15


El reto en la aplicación del método es precisar o estimar las condiciones

(valores) de las dos variables. Sin embargo, el análisis de riesgo nos permite

ubicar el riesgo y conocer los factores que influyen, negativa o positivamente

en el riesgo.

En el proceso de analizar un riesgo también es importante reconocer que cada

riesgo tiene sus características:

Dinámico y cambiante (Interacción de Amenazas y Vulnerabilidad)

Diferenciado y tiene diferentes caracteres (caracteres de Vulnerabilidad)

No siempre es percibido de igual manera entre los miembros de una

institución que tal vez puede terminar en resultados inadecuados y por

tanto es importante que participan las personas especialistas de los

diferentes elementos del sistema (Coordinación, Administración

financiera, Técnicos, Conserje, Soporte técnico externo etc.)

Entre más alta la Probabilidad de Amenaza y Magnitud de Daño, más grande

es el riesgo y el peligro al sistema, lo que significa que es necesario

implementar medidas de protección.

¿CÓMO VALORAR LA PROBALIDAD DE AMENAZA?

Consideraciones

Interés o la atracción por parte de individuos externos.

Nivel de vulnerabilidad

Frecuencia en que ocurren los incidentes.

Valoración de probabilidad de amenaza

BAJA: existen condiciones que hacen muy lejana la posibilidad del ataque.MEDIANA: existen condiciones que hacen poco probable un ataque en corto plazo, pero no son suficientes para evitarlo en el largo plazo.ALTA: ataque es inminente. No existen condiciones internas y externas que impidan el desarrollo del ataque.

Probabilidad de Amenaza

16



Se habla de un Ataque, cuando una amenaza se convirtió en realidad, es decir

cuando un evento se realizó. Pero el ataque no dice nada sobre el éxito del

evento es así que los datos e informaciones fueron perjudicado respecto a su

confidencialidad, integridad, disponibilidad y autenticidad.

Para estimar la Probabilidad de Amenaza nos podemos hacer algunas

preguntas:

¿Cuál es el interés o la atracción por parte de individuos externos,

de atacarnos?

Algunas razones pueden ser que manejamos información que contiene

novedades o inventos, información comprometedora, etc. Talvez

tenemos competidores en el trabajo, negocio o simplemente por la

imagen o posición pública que tenemos.

¿Cuáles son nuestras vulnerabilidades?

Es importante considerar todos los grupos de vulnerabilidades. También

se recomienda incluir los expertos, especialistas de las diferentes áreas

de trabajo para obtener una imagen más completa y más detallada

sobre la situación interna y el entorno.

¿Cuántas veces ya han tratado de atacarnos?

Ataques pasados nos sirven para identificar una amenaza y si su

ocurrencia es frecuente, más grande es la probabilidad que pasará otra

vez. En el caso de que ya tenemos implementadas medidas de

protección es importante llevar un registro, que muestra los casos

cuando la medida se aplicó exitosamente y cuándo no.

17


¿CUÁNDO HABLAMOS DE UN IMPACTO?


Se habla de un Impacto, cuando un ataque exitoso perjudicó la

confidencialidad, integridad, disponibilidad y autenticidad de los datos e

informaciones.

¿CÓMO VALORAR LA MAGNITUD DE DAÑO?

Se pierde la información

Terceros tienen acceso

a la información

Cambio de legitimidad de

la fuente de información.

La información ha sido

manipulada o está

incompleta

Magnitud del daño

18



Estimar la Magnitud de Daño generalmente es una tarea muy compleja. La

manera más fácil es expresar el daño de manera cualitativa, lo que significa

que aparte del daño económico, también se considera otros valores como

daños materiales, imagen, emocionales, entre otros. Expresarlo de manera

cuantitativa, es decir calcular todos los componentes en un solo daño

económico, resulta en un ejercicio aún más complejo y extenso.

Aunque conozcamos bien el impacto de un ataque exitoso, sus consecuencias

pueden ser múltiples, a veces son imprevisibles y dependen mucho del

contexto donde manejamos la información, sea en una ONG (derechos

humanos, centro de información etc.), en una empresa privada (banco, clínica,

producción etc.), en una institución Estatal o en el ámbito privado. Otro factor

decisivo, respecto a las consecuencias, es también el entorno donde nos

ubicamos, es decir cuáles son las Leyes y prácticas comunes, culturales que se

aplica para sancionar el incumplimiento de las normas.

Un punto muy esencial en el análisis de las consecuencias es la diferenciación

entre los dos propósitos de protección de la Seguridad Informática, la

Seguridad de la Información y la Protección de datos, porque nos permite

determinar, quien va a sufrir el daño de un impacto, nosotros, otros o ambos.

En todo caso, todos nuestros comportamientos y decisiones deben ser dirigidos

Consideraciones sobre las consecuencias de un impacto

¿Quién sufrirá el daño?

Incumplimiento de confidencialidad (interna y externa)

Incumplimiento de obligaciones jurídicas, contratos, convenios.

Valoración de magnitud del daño

BAJA: daño aislado, no perjudica los componentes de la organización.MEDIANA: provoca la desarticulación de un componente de la organización. A largo plazo puede provocar desarticulación de la organización.

ALTA: En corto plazo: desmoviliza o desarticula a la organización.

19


por una conciencia responsable, de no causar daño a otros, aunque su realidad

no tenga consecuencias negativas.

Otras preguntas que podemos hacernos para identificar posibles

consecuencias negativas causadas por un impacto son:

¿Existen condiciones de incumplimiento de confidencialidad

interna y externa?

Esto normalmente es el caso cuando personas no autorizadas tienen

acceso a información y conocimiento ajeno que pondrá en peligro

nuestra misión.

¿Existen condiciones de incumplimiento de obligación jurídicas,

contratos y convenios?

No cumplir con las normas legales fácilmente puede culminar en

sanciones penales o económicas, que perjudican nuestra misión,

existencia laboral y personal.

¿Cuál es el costo de recuperación?

No solo hay que considerar los recursos económicos, tiempo,

materiales, sino también el posible daño de la imagen pública y

emocional.

Considerando todos los aspectos mencionados, nos permite clasificar la

Magnitud del Daño.

Matriz para el Análisis de Riesgo

La Matriz para el Análisis de Riesgo, es producto del proyecto de Seguimiento

al “Taller Centroamericano Ampliando la Libertad de Expresión: Herramientas

para la colaboración, información y comunicación segura” y fue punto clave en

analizar y determinar los riesgos en el manejo de los datos e información de las

20

http://protejete.wordpress.com/gdr_principal/matriz_riesgo/


organizaciones sociales participantes. La Matriz, basada en una hoja de

cálculo, no dará un resultado detallado sobre los riesgos y peligros de cada

recurso (elemento de información) de la institución, sino una mirada

aproximada y generalizada de estos.

Hay que tomar en cuenta que el análisis de riesgo detallado, es un trabajo muy

extenso y consumidor de tiempo, porque requiere que se compruebe todos los

posibles daños de cada recurso de una institución contra todas las posibles

amenazas, es decir terminaríamos con un sinnúmero de grafos de riesgo que

deberíamos analizar y clasificar. Por otro lado, hay que reconocer que la

mayoría de las organizaciones sociales centroamericanas (el grupo meta del

proyecto), ni cuentan con personal técnico específico para los equipos de

computación, ni con recursos económicos o mucho tiempo para dedicarse o

preocuparse por la seguridad de la información que manejan y en muchas

ocasiones tampoco por la formación adecuada de sus funcionarios en el

manejo de las herramientas informáticas.

Entonces lo que se pretende con el enfoque de la Matriz es localizar y

visualizar los recursos de una organización, que están más en peligro de sufrir

un daño por algún impacto negativo, para posteriormente ser capaz de tomar

las decisiones y medidas adecuadas para la superación de las vulnerabilidades

y la reducción de las amenazas.

Fundamento de la Matriz

La Matriz se basa en el método de Análisis de Riesgo con un grafo de riesgo,

usando la fórmula: Riesgo = Probabilidad de Amenaza x Magnitud de Daño

La Probabilidad de Amenaza y Magnitud de Daño pueden tomar los valores y

condiciones respectivamente

1 = Insignificante

2 = Baja

3 = Mediana

21


4 = Alta


El Riesgo, que es el producto de la multiplicación Probabilidad de Amenaza por

Magnitud de Daño, está agrupado en tres rangos, y para su mejor

visualización, se aplica diferentes colores.

Bajo Riesgo = 1 – 6 (verde)

Medio Riesgo = 8 – 9 (amarillo)

Alto Riesgo = 12 – 16 (rojo)

Uso de la Matriz

La Matriz contiene una colección de diferentes Amenazas (campos verdes) y

Elementos de información (campos rojos). Para llenar la Matriz, tenemos que

estimar los valores de la Probabilidad de Amenaza (campos azules) por cada

Amenaza y la Magnitud de Daño (campos amarillos) por cada Elemento de

Información.

22



Para la estimación de la Probabilidad de amenazas, se trabaja con un valor

generalizado, que solamente está relacionado con el recurso más vulnerable

de los elementos de información, sin embargo usado para todos los elementos.

Si por ejemplo existe una gran probabilidad de que nos puedan robar

documentos y equipos en la oficina, porque ya entraron varias veces y no

contamos todavía con una buena vigilancia nocturna de la oficina, no se

distingue en este momento entre la probabilidad si robarán una portátil, que

está en la oficina (con gran probabilidad se van a llevarla), o si robarán un

documento que está encerrado en una caja fuerte escondido (es menos

probable que se van a llevar este documento).

Este proceder obviamente introduce algunos resultados falsos respecto al

grado de riesgo (algunos riesgos saldrán demasiado altos), algo que

posteriormente tendremos que corregirlo. Sin embargo, excluir algunos

resultados falsos todavía es mucho más rápido y barato, que hacer un análisis

de riesgo detallado, sobre todo cuando el enfoque solo es combatir los riesgos

más graves.

En el caso de que se determine los valores para la Probabilidad de Amenaza y

Magnitud de Daño a través de un proceso participativo de trabajo en grupo

(grande), se recomienda primero llenar las fichas de apoyo para los Elementos

23

http://protejete.files.wordpress.com/2009/07/matriz_2_tabla_vacia.jpg


de Información y Probabilidad de Amenaza, y una vez consolidado los datos,

llenar la matriz.

Dependiendo de los valores de la Probabilidad de Amenaza y la Magnitud de

Daño, la Matriz calcula el producto de ambos variables y visualiza el grado de

riesgo.


Dependiendo del color de cada celda, podemos sacar conclusiones no solo

sobre el nivel de riesgo que corre cada elemento de información de sufrir un

daño significativo, causado por una amenaza, sino también sobre las medidas

de protección necesarias

Proteger los datos de RR.HH, Finanzas contra virus

Proteger los datos de Finanzas y el Coordinador contra robo

Evitar que se compartan las contraseñas de los portátiles

3.2 Clasificación de Riesgo

El objetivo de la clasificación de riesgo es determinar hasta qué grado es

factible combatir los riesgos encontrados. La factibilidad normalmente depende

de la voluntad y posibilidad económica de una institución, sino también del

24

http://protejete.wordpress.com/gdr_principal/clasificacion_riesgo/

http://protejete.files.wordpress.com/2009/07/matriz_3_tabla_llenada.jpg


entorno donde nos ubicamos. Los riesgos que no queremos o podemos

combatir se llaman riesgos restantes y no hay otra solución que aceptarlos.


Implementar medidas para la reducción de los riesgos significa realizar

inversiones, en general económicas. El reto en definir las medidas de

protección, entonces está en encontrar un buen equilibrio entre su

funcionalidad (cumplir con su objetivo) y el esfuerzo económico que tenemos

que hacer para la implementación y el manejo de estas.

De igual manera como debemos evitar la escasez de protección, porque nos

deja en peligro que pueda causar daño, el exceso de medidas y procesos de

protección, pueden fácilmente paralizar los procesos operativos e impedir el

cumplimiento de nuestra misión. El caso extremo respecto al exceso de

medidas sería, cuando las inversiones para ellas, superen el valor del recurso

que pretenden proteger.

25

http://protejete.files.wordpress.com/2009/07/pres_15_clasificacion_riesgo.jpg



Con el Riesgo restante se entiende dos circunstancias, por un lado son estas

amenazas y peligros que, aunque tenemos implementados medidas para evitar

o mitigar sus daños, siempre nos pueden afectar, si el ataque ocurre con una

magnitud superior a lo esperado. Podemos protegernos de cierto modo contra

los impactos de un terremoto común, sin embargo cuando ocurre con una

fuerza superior o antes no conocido, el impacto general será mucho más

grande y muy probablemente afectará también a nosotros.

La otra situación es cuando aceptamos conscientemente los posibles impactos

y sus consecuencias, después de haber realizado el análisis de riesgo y la

definición de las medidas de protección. Las razones para tomar esta decisión

pueden ser varias, sea que evitar los daños no está dentro de nuestra

posibilidad y voluntad económica o porque no entendemos que no tenemos

suficiente poder sobre el entorno. Sea lo que sea la razón, el punto importante

es que sabemos sobre la amenaza y decidimos vivir con ella y su posible

consecuencia.

3.3 Reducción de Riesgo

26

http://protejete.wordpress.com/gdr_principal/reduccion_riesgo/

http://protejete.files.wordpress.com/2009/07/pres_16_riesgo_restante.jpg


La reducción de riesgo se logra a través de la implementación de Medidas de

protección, que basen en los resultados del análisis y de la clasificación de

riesgo.


Las medidas de protección están divididas en medidas físicas y técnicas,

personales y organizativas.

En referencia al Análisis de riesgo, el propósito de las medidas de protección,

en el ámbito de la Seguridad Informática, solo tienen un efecto sobre los

componentes de la Probabilidad de Amenaza, es decir aumentan nuestra

capacidad física, técnica, personal y organizativa, reduciendo así nuestras

vulnerabilidades que están expuestas a las amenazas que enfrentamos. Las

medidas normalmente no tienen ningún efecto sobre la Magnitud de Daño, que

depende de los Elementos de Información y del contexto, entorno donde nos

ubicamos. Es decir, no se trata y muy difícilmente se puede cambiar el valor o

la importancia que tienen los datos e informaciones para nosotros, tampoco

vamos a cambiar el contexto, ni el entorno de nuestra misión.

27

http://protejete.files.wordpress.com/2009/07/pres_17_reduccion_riesgo.jpg



La fuerza y el alcance de las medidas de protección, dependen del nivel de

riesgo

Alto riesgo: Medidas deben evitar el impacto y daño.

Medio riesgo: Medidas solo mitigan la magnitud de daño pero no

evitan el impacto.

Considerando que la implementación de medidas de protección están en

directa relación con inversiones de recursos económicos y procesos operativos,

es más que obvio, que las medidas, para evitar un daño, resultarán (mucho)

más costosas y complejas, que las que solo mitigan un daño.

Para que las medias sean exitosas, es esencial que siempre verificamos su

factibilidad, es decir que técnicamente funcionan y cumplen su propósito, que

están incorporadas en los procesos operativos institucionales y que las

personas se apropian de estás. Es indispensable que están respaldadas,

aprobadas por aplicadas por la coordinación, porque si no, pierden su

28

http://protejete.files.wordpress.com/2009/07/pres_18_medidas_proteccion.jpg


credibilidad. También significa que deben ser diseñadas de tal manera, que no

paralizan u obstaculizan los procesos operativos porque deben apoyar el

cumplimiento de nuestra misión, no impedirlo.

Otro punto clave es, que las personas que deben aplicar y apropiarse de las

medias saben sobre su existencia, propósito e importancia y son capacitadas

adecuadamente en su uso, de tal manera, que las ven como una necesidad

institucional y no como otra cortapisa laboral.

Debido a que la implementación de las medidas no es una tarea aislada, única,

sino un proceso continuo, su manejo y mantenimiento debe estar integrado en

el funcionamiento operativo institucional, respaldado por normas y reglas que

regulan su aplicación, control y las sanciones en caso de incumplimiento.

El propósito del control de riesgo es analizar el funcionamiento, la efectividad y

el cumplimiento de las medidas de protección, para determinar y ajustar sus

deficiencias.

Las actividades del proceso, tienen que estar integradas en el plan operativo

institucional, donde se define los momentos de las intervenciones y los

responsables de ejecución.

Medir el cumplimiento y la efectividad de las medidas de protección requiere

que levantemos constantemente registros sobre la ejecución de las actividades,

los eventos de ataques y sus respectivos resultados. Estos tenemos que

analizados frecuentemente. Dependiendo de la gravedad, el incumplimiento y

el sobrepasar de las normas y reglas, requieren sanciones institucionales para

los funcionarios.

En el proceso continuo de la Gestión de riesgo, las conclusiones que salen

como resultado del control de riesgo, nos sirven como fuente de información,

cuando se entra otra vez en el proceso de la Análisis de riesgo.

5. Análisis de impacto al negocio

29


El reto es asignar estratégicamente los recursos para cada equipo de

seguridad y bienes que intervengan, basándose en el impacto potencial para el

negocio, respecto a los diversos incidentes que se deben resolver.

Para determinar el establecimiento de prioridades, el sistema de gestión de

incidentes necesita saber el valor de los sistemas de información que pueden

ser potencialmente afectados por incidentes de seguridad. Esto puede implicar

que alguien dentro de la organización asigne un valor monetario a cada equipo

y un archivo en la red o asignar un valor relativo a cada sistema y la

información sobre ella. Dentro de los valores para el sistema se pueden

distinguir: confidencialidad de la información, la integridad (aplicaciones e

información) y finalmente la disponibilidad del sistema. Cada uno de estos

valores es un sistema independiente del negocio, supongamos el siguiente

ejemplo, un servidor web público pueden poseer la característica de

confidencialidad baja (ya que toda la información es pública) pero necesita alta

disponibilidad e integridad, para poder ser confiable. En contraste, un sistema

de planificación de recursos empresariales (ERP) es, habitualmente, un

sistema que posee alto puntaje en las tres variables.

Los incidentes individuales pueden variar ampliamente en términos de alcance

e importancia.

6. Puesta en marcha de una política de seguridad

Actualmente las legislaciones nacionales de los Estados, obligan a las

empresas, instituciones públicas a implantar una política de seguridad. Por

ejemplo, en España, la Ley Orgánica de Protección de Datos de carácter

personal o también llamada LOPD y su normativa de desarrollo, protege ese

tipo de datos estipulando medidas básicas y necesidades que impidan la

pérdida de calidad de la información o su robo. También en ese país, el

Esquema Nacional de Seguridad establece medidas tecnológicas para permitir

que los sistemas informáticos que prestan servicios a los ciudadanos cumplan

con unos requerimientos de seguridad acordes al tipo de disponibilidad de los

servicios que se prestan.

30

http://es.wikipedia.org/w/index.php?title=Plan_de_continuidad&action=edit&redlink=1

http://es.wikipedia.org/w/index.php?title=Plan_de_continuidad&action=edit&redlink=1

http://es.wikipedia.org/wiki/Esquema_Nacional_de_Seguridad

http://es.wikipedia.org/wiki/LOPD

http://es.wikipedia.org/wiki/Ley_Org%C3%A1nica_de_Protecci%C3%B3n_de_Datos

http://es.wikipedia.org/wiki/Planificaci%C3%B3n_de_recursos_empresariales

http://es.wikipedia.org/wiki/Integridad_de_datos

http://es.wikipedia.org/wiki/Alta_disponibilidad

http://es.wikipedia.org/wiki/Alta_disponibilidad

http://es.wikipedia.org/wiki/Servidor_web


Generalmente se ocupa exclusivamente a asegurar los derechos de acceso a

los datos y recursos con las herramientas de control y mecanismos de

identificación. Estos mecanismos permiten saber que los operadores tienen

sólo los permisos que se les dio.

La seguridad informática debe ser estudiada para que no impida el trabajo de

los operadores en lo que les es necesario y que puedan utilizar el sistema

informático con toda confianza. Por eso en lo referente a elaborar una política

de seguridad, conviene:

Elaborar reglas y procedimientos para cada servicio de la organización.

Definir las acciones a emprender y elegir las personas a contactar en

caso de detectar una posible intrusión

Sensibilizar a los operadores con los problemas ligados con la seguridad

de los sistemas informáticos.

Los derechos de acceso de los operadores deben ser definidos por los

responsables jerárquicos y no por los administradores informáticos, los cuales

tienen que conseguir que los recursos y derechos de acceso sean coherentes

con la política de seguridad definida. Además, como el administrador suele ser

el único en conocer perfectamente el sistema, tiene que derivar a la directiva

cualquier problema e información relevante sobre la seguridad, y

eventualmente aconsejar estrategias a poner en marcha, así como ser el punto

de entrada de la comunicación a los trabajadores sobre problemas y

recomendaciones en término de seguridad informática.

6. Procedimiento, Mecanismo y Técnicas para asegurar el sistema

6.1 Relación entre Procedimiento, Mecanismo y Técnicas para asegurar el sistema

Mecanismos Básicos de Seguridad

- Autenticación - Autorización.- Administración.- Auditoria y registración.

Se llevan a cabo a través:

TÉCNICAS DE SEGURIDAD

Dependen de la tecnología que se usa.

31



De acuerdo con el esquema se deduce que a medida que las nuevas

tecnologías permiten el uso de herramientas más complejas, es necesario que

se desarrolle nuevas técnicas y procedimientos que nos ayuden a controlar

nuestros datos.

A. Procedimiento de seguridad

Un procedimiento de seguridad determina las acciones o tareas a

realizar en el desempeño de un proceso relacionado con la

seguridad y las personas o grupos responsables de su ejecución.

Un procedimiento debe ser claro, sencillo de interpretar y no

ambiguo en su ejecución.

El desarrollo de los procedimientos se llevara a cabo en base de

las políticas y de un análisis de riesgo formal.

1. Políticas de seguridad

Las políticas de seguridad son esencialmente orientaciones e

instrucciones que indican cómo manejar los asuntos de seguridad y

forman la base de un plan maestro para la implantación efectiva de

medidas de protección tales como: identificación y control de acceso,

respaldo de datos, planes de contingencia y detección de intrusos.

La empresa debe contar con un documento formalmente elaborado

sobre el tema, el cual obligatoriamente será divulgado entre todos los

Procedimientos de seguridad de información

32


funcionarios. Las cuales deben ser revisadas, actualizadas

periódicamente.

Las políticas deben comprender:

La definición de los objetivos principales y su importancia

dentro de la empresa.

Mostrar compromiso de la alta gerencia con la mima filosofía

respecto al acceso de datos.

Establecer la base para poder diseñar normas y

procedimientos referidos a:


A partir de las políticas podemos a comenzar a desarrollar primero

las normas, y luego los procedimientos de seguridad que serán la

guía para la realización de actividades.

Políticas de seguridad Procedimientos y normas de seguridad

Consisten de declaraciones genéricas.

Hacen referencia específica a tecnologías, metodologías, procedimientos de implementación y otros aspectos en detalle.

Deberían durar durante muchos años Duran menos tiempo.Son más estables. Necesitan ser actualizadas más a

menudo.Una declaración sobre políticas Maneja un problema específico a

Organización de la seguridad.

Clasificación y control de datos.

Seguridad de las personas

Seguridad física y ambiental.

Plan de contingencia.

Protección y detección de virus.

Administración de los computadores.

33


describe sólo la forma general de manejar un problema específico.

detalle o en forma extensa.


2. Seguridad lógica:

Son los procedimientos existentes para controlar el acceso lógico no

autorizado a la información, ya sea que se realice mientras esta se

encuentra almacenada o durante la transmisión.

- Control de acceso interno: determinan lo que un usuario o grupo

de usuarios puede o no hacer con los recursos de la empresa. Se

aplican las siguientes técnicas:


- Control de acceso externo: son una protección contra la interacción

de nuestro sistema con los sistemas, servicios y gente externa se

emplean las siguientes técnicas:


3. Seguridad Organizacional:

... * Passwords

* Encriptación

* Etiquetas de seguridad

* Lista de control de acceso

... * Firewalls o puertas de seguridad

* Dispositivos de control de puertas

34


Son los procedimientos existentes para controlar que efectos

ambientales podrían perjudiquen el procedimiento, los

equipamientos y el personal ejm: los protectores de pico de

tensión eléctrica.

- Recuperación de desastres: pueden ser naturales y causados por

el hombre.


- Acciones hostiles: los sistemas de Tecnologías de Información (TI)

son vulnerables a una serie de amenazas que puede ocasionar

daños que resulten en pérdidas significativas, los cuales pueden ser

alterar la base de datos o provocar un incendio que destruya todo la

data.

Robo y fraude, espionaje, sabotaje, hackers y códigos maliciosos

4. Seguridad física:

Son los procedimientos existentes para controlar el acceso físico

al equipamiento informático.

- Controles de seguridad física y entorno ISO 17799.

El ISO 17799 ofrece un marco de seguridad en la organización y

ofrece mecanismos para administrar los procesos de seguridad.

Proporciona los siguientes beneficios:

Causados por el hombre

ExplosionesIncendios

Generados por la naturaleza

SismosInundacionesMaremotosVolcanes

35



Contiene 10 controles de seguridad, y entre ellos hay controles de

seguridad física. Dichos controles manejan riesgos inherentes a las

Instalaciones de la entidad los cuales incluyen:

Una metodología estructurada reconocida intencionalmente.

Un proceso definido para evaluar, mantener y administrar seguridad informática.

Certificación que permite a una entidad demostrar su “status”

36



- Controles de seguridad física y entorno NIST

Según NIST, los controles se implementan para proteger los

ambientes en que se encuentran los recursos del sistema y los

elementos adicionales que permiten su ejecución.

Control de acceso físico; restringen el ingreso y salida del personal,

equipos o medios de almacenamiento. Se establece en la zona

donde se encuentra el hardware y el cableado.

Fallas de servicios accesorios; se requiere un ambiente de trabajo

razonable bajo control con equipos de servicio accesorio (aire

acondicionado, si fallan pueden dañar el hardware).

Lugar Analisis de las intalaciones de la empresa

Seguridad del premetro

fisico

Estar claramanete definido y en buen estado.

Control de acceso Contar con controles de ingreso y salida

EquipamientoEquipos ubicados en zonas que aseguren su integridad y disponibilidad.

Transporte de bienes

Mecanismos para el ingreso y salidad de bienes a traves del perimetro de seguridad.

Generales Politicas y estandares como utilizacion de equipos de destruccion de documentos , seguridad operacional en el espacio de trabajo.

37


Sistemas móviles y portátiles

- Forénsica

Son empleadas en caso de delito informático, el forense tratara de

identificar hasta qué punto rompió la seguridad el hacker, también se

puede utilizar este procedimiento cuando se quiera determinar el uso

excesivo del internet por los usuarios de la empresa.

Tiene los siguientes pasos para recoger la evidencia:


B. Mecanismo de seguridad

Los mecanismos básicos de seguridad no toman en cuenta el tipo de

tecnología que se utilizada, los cuales son llevados a cabo por medio del

uso de técnicas de seguridad.

Clasificación de los mecanismos de seguridad

Los mecanismos de seguridad se dividen en 4 grandes grupos:

Asegurar el área física

Desactivar el sistema

Asegurar el sistema

Preparar el sistema

Examinar el sistema

Preparar el sistema para la recolección

Conectar un medio de

almacenamiento.

Copiar información

Asegurar la evidencia

Examinar evidencia

38



1. Mecanismos de prevención

Garantizan la seguridad del sistema durante su uso habitual.

Los disquetes, CD-ROM’s, y otros medios removibles que entran y

salen de nuestro sistema deberán ser tenidos en cuenta, así como

los medios no electrónicos como impresos, faxes, teletipos, pantallas,

con que las personas tratan la información. Para todos ellos las

soluciones serán fundamentalmente organizativas. Se pueden

mencionar las siguientes:

a. Autentificación

Es el proceso de identificar un usuario, máquina u organización de

modo preciso. Existen muchas tecnologías que se pueden usar para

autenticar:


Mecanismos de prevención

Mecanismo de detección

Mecanismo de recuperación

Mecanismo de auditoría.

Contraseñas

Certificados

Biometría

Voz, escritura, huellas, patrones oculares, mano.

Tarjetas Inteligentes

(Smart card)

Firma digital

39



Cuadro Nº 30 - Fuente: WIKIPEDIA.

Clasificación de autenticación

La autentificación tradicional (UNIX, NT...) garantiza que

las contraseñas se mantienen en secreto, pero utilizan

sistemas de encriptación muy simples.

40


Una tecnología consolidada y en auge es Kerberos, un

protocolo de autentificación distribuida con cualidades de

identificación única (Single Sign-On) que permite establecer

privacidad e integridad de los datos, utilizando mecanismos

de clave pública, mucho más seguros que la autentificación

tradicional.

b. Autorización

Es el proceso de determinar lo que un elemento autenticado puede

hacer. Ejemplos son las listas de control de acceso o la seguridad del

sistema de archivos (NTFS, por ejemplo), que asocian los usuarios

autenticados a perfiles de acceso a aplicaciones, ficheros, equipos,

etc. Mediante este proceso se determinan los privilegios de un

usuario (u otro elemento autenticado) en un sistema.

c. Disponibilidad

Consiste en proteger los sistemas para mantenerlos en

funcionamiento el mayor tiempo posible. Ya hemos hablado de la

protección física. Existen sistemas que nos permiten aumentar la

disponibilidad del software con sistemas de particionado lógico de

máquinas físicas, tecnologías cluster, tanto de discos como de red.

d. Mantenimiento de la integridad de información

Consiste en asegurar que la información no se ha transformado

durante su procesamiento, transporte o almacenamiento. Es decir

que los archivos permanezcan sin sufrir cambios no autorizados y

que la información enviada desde un punto llegue a su destino

inalterada.

2. Mecanismos de detección

Un grupo de tecnologías se encargan de detectar intentos de ataques

o ataques propiamente dichos. Aportan unas ciertas medidas de

41


monitorización y detección de actividad sospechosa, que pueden ser

más o menos “inteligente”.

a. Los cortafuegos (firewalls):

Los cortafuegos pueden ser implementados en hardware o software,

o una combinación de ambos. Los cortafuegos se utilizan con

frecuencia para evitar que los usuarios de Internet no autorizados

tengan acceso a redes privadas conectadas a Internet,

especialmente intranets.

b. Los análisis de riesgos

Estas se encargan de detectar problemas de seguridad en nuestros

sistemas. Los hay de muchos tipos:

- Los analizadores de vulnerabilidades: Son herramientas que

realizan un barrido en nuestros sistemas comprobando agujeros de

seguridad conocidos en el sistema.

- Los scanner de puertos: son herramientas que se encargan de

advertir de todos los servicios que nuestro sistema está ofertando a

la red ya que en muchas ocasiones son más de los necesarios.

- Herramientas que hacen una “foto” del sistema en su origen, y que

permiten comprobar que todo sigue igual con el paso del tiempo, y

no se han producido modificaciones al software básico. Estas

“fotos” se basan en algoritmos hash sobre los archivos clave del

sistema.

- Herramientas que actúan sobre las contraseñas del sistema. Se

encargan de detectar la vulnerabilidad de estas contraseñas.

Otro tipo de tecnologías se encarga de los fallos hardware, la

monitorización, las alertas, acciones ante fallos, etc.

42


Todo un abanico de herramientas de gestión de infraestructuras que

permiten detectar fallos, en muchas ocasiones, antes de que

produzcan daños al sistema. Y no solo fallos, también se encargan

de detectar los niveles de saturación de los elementos críticos antes

de que se produzcan problemas en el servicio.

Por último un elemento imprescindible de detección en una red es el

antivirus. Programa, o conjunto de programas, encargados de

mantener un ordenador y/o una red libres de virus. Se deberán

colocar antivirus en todos los puntos de entrada/salida de

información de nuestro sistema.

3. De recuperación

Nos permiten recuperar el estado habitual del sistema tras un fallo o

ataque. Fundamentalmente son herramientas basadas en las copias

de seguridad.

4. De auditoría

Nos permiten determinar las causas de los problemas antes, durante

y después de que suceda. Fundamentalmente son registros de los

sucesos que se van produciendo en el sistema: usuarios que entran,

acciones que realizan, tiempos en los que se hacen las cosas

C. Técnicas de seguridad de información

Entre las técnicas más consolidadas encontramos las copias de

respaldo, los antivirus, los cortafuegos, los mecanismos de autenticación

y la criptografía.

43



1. Respaldo de información

Un buen sistema de respaldo debe contar con ciertas características

indispensables:

Continuo

El respaldo de datos debe ser completamente automático y

continuo. Debe funcionar de forma transparente, sin intervenir

en las tareas que se encuentra realizando el usuario.

Seguro

Muchos softwares de respaldo incluyen cifrado de datos (128-

448 bits), lo cual debe ser hecho localmente en el equipo

antes del envío de la información.

Los datos deben quedar alojados en dependencias alejadas

de la empresa.

Se encaminan a garantizar la disponibilidad de los sistemas frente a cualquier eventualidad.

Respaldo de información

Control del software instalado.Control de red.Los antivirus

Tratan de reducir el número de vías potenciales de acceso a los sistemas corporativos desde el exterior, estableciendo limitaciones al número de equipos y de servicios visibles.

Los cortafuegos

Pueden ser esquemas simples o complejas.Mecanismos de Autenticación y la incriptación

44


Mantención de versiones anteriores de los datos

Se debe contar con un sistema que permita la recuperación de

versiones diarias, semanales y mensuales de los datos.

2. Técnicas en los mecanismos de autenticación.

Estos mecanismos pueden variar desde esquemas simples basados

en los pares usuario contraseña, hasta complejos sistemas

distribuidos basados en credenciales o sistemas de autenticación

biométricos basados en el reconocimiento mecanizado de

características físicas de las personas.

Security tokens o ID card

La autenticación es realizada a través de una contraseña que

cuenta con dos componentes:

- Fijo (un PIN de usuario)

- Variable, es generado por securitytoken, una pequeña tarjeta con

un display.

El cual genera una nueva contraseña cada 60 segundos. Estas

contraseñas son generadas en sincronismo con el servidor.

A cada usuario se le asigna un PIN y se le entrega un securitytoken.

Así cada vez que intente ingresar al sistema deberá digitar su PIN y

la contraseña generada por su token.

Reconocimiento biométrico

Las técnicas biométricas presentan procesos de verificación basados

en características físicas (cara, huella digitales) o de comportamiento

(registro vocal, firma a mano alzada).

45


Estas características son capturadas e ingresadas al sistema,

asociadas a cada usuario respectivo. Luego en el momento de la

verificación, la autenticación se produce por la comparación del

patrón almacenado y registro realizado por el usuario que requiere el

acceso.

Técnica Ventajas desventajas

Reconocimiento de cara.

Fácil, rápido y económico.

La iluminación puede alterar la autenticación.

La lectura de huella digital.

Económico y muy seguro.

Pueden haber replicas, cortes o lastimaduras que alteren la autenticación.

Lectura de iris/retina.

Muy seguro. Intrusivo (molesto para el

usuario).

Lectura de la palma de la mano.

Económico Puede ser alterado por el

estado emocional de la persona.

Reconocimiento de la voz.

Útil para acceso remoto.

Lento, puede ser alterado por el estado emocional de la persona, fácilmente. reproducible.


3. Técnicas en los mecanismos de integridad

Dentro de las técnicas más utilizadas para mantener o controlar la

integridad de los datos, podemos citar:


a. Protección contra virus

Antivirus Encriptación Funciones hash

46


Es una aplicación orientada a prevenir, detectar y eliminar

programas maliciosos denominados virus, los cuales actúan

dañando un sistema informático con diversas técnicas.

i. Control del software instalado

Pretenden evitar la aparición de lógica maliciosa y en caso

de infección tratan de eliminarla de los sistemas.

Software Antivirus: Consiste en un programa que se debe

instalar en su ordenador. Protege su sistema

permanentemente, si algún virus intenta introducirse en su

ordenador el antivirus lo detecta.

ii. Control de la red

Entre los antivirus conviene destacar aquellos que

inspeccionan los correos electrónicos evitando la infección

de sus destinatarios. Son los siguientes:

Cortafuegos (firewall):

Programa que funciona como muro de defensa,

bloqueando el acceso a un sistema en particular. Se

utilizan principalmente en computadoras con conexión a

una red, fundamentalmente internet. El programa controla

todo el tráfico de entrada y salida, bloqueando cualquier

actividad sospechosa e informando adecuadamente de

cada suceso.

Antiespias(antispyware):

aplicación que busca, detecta y elimina programas espías

(spyware) que se instalan ocultamente en el ordenador.

47


Antipop-ups:

utilidad que se encarga de detectar y evitar que se ejecuten

las ventanas pop-ups cuando navegas por la red. Muchas

veces los pop-ups apuntan a contenidos pornográficos o

paginas infectadas. Algunos navegadores web como

mozillafirefox o internet explorer 7 cuentan con un sistema

antipop-up integrado.

Antispam:

aplicación o herramienta que detecta y elimina el spam y

los correos no deseados que circulan por via email.

Funcionan mediante filtros de correo que permiten detectar

los emails no deseados. Estos filtros son totalmente

personalizables.

b. Encriptación

Es una ciencia que brinda distintas técnicas capaces de

transformar datos legibles en datos no legibles y viceversa por

medio de funciones matemáticas (algoritmos).

El objetivo es prevenir datos legibles en inteligibles.

48


Gráfico Nº 34 - Fuente: Elaboración Propia.

Existen dos tipos:

Simétricos: utilizan la misma clave para encriptar y descriptar

Asimétricos: los cuales utilizan dos claves distintas. Una

pública y la otra privada.

Estas tecnologías tienen múltiples utilidades entre las que

destacaremos las siguientes:

i. Certificados

Un certificado digital contiene, fundamentalmente, los datos

de un usuario (o entidad) y su clave pública (ligada a su

clave privada). Esta información viene avalada por una

entidad tercera que garantiza la validez de su contenido: es

la entidad certificadora

49



ii. Smart Cards (Tarjetas inteligentes)

Las llamadas tarjetas inteligentes son un dispositivo de

seguridad del tamaño de una tarjeta de crédito que ofrece

funciones de almacenamiento y procesamiento seguro de

información.


50


La diferencia con las tarjetas normales estriba en que éstas tienen

una banda magnética en la que existe cierta información,

mientras que las tarjetas inteligentes disponen de un chip

empotrado en la propia tarjeta. Las tarjetas aportan las siguientes

características de seguridad:

- Almacenamiento resistente a ataques para claves

privadas y otra información sensible.

- Portabilidad de las credenciales digitales y otras

informaciones.

- Doble seguridad: algo poseído (la tarjeta) y algo

conocido (el PIN de identificación).

iii.Redes privadas virtuales (VPN’s)

Para proteger la información que viaja a través de redes

públicas o poco seguras se emplea la tecnología de Redes

Privadas Virtuales. Existen diferentes aproximaciones

tecnológicas para solucionar este problema pero todas ellas

consisten en crear un ‘túnel’ entre dos extremos que se

comunican. El túnel se crea encriptando la información en el

origen y desencriptándola en el destino.

51



Por ejemplo:

- El PPTP1, Point to Point Tunneling Protocol.

- PKI2 (Public Key Infraestructure)

c. Funciones hash

Es una función matemática compleja que se aplica a un conjunto

de caracteres de cualquier longitud obteniendo un resultado de

largo fijo, y cualquier cambio al conjunto de caracteres de origen,

producirá un cambio en el resultado

d. Protección física de acceso a las redes

Independientemente de las medidas que se adopten para proteger a los equipos de una red de área local y el software que reside en ellos, se deben tomar medidas que impidan que usuarios no autorizados puedan acceder. Las medidas habituales dependen del medio físico a proteger.

1PPTP,Pointto Point TunnelingProtocol, diseñado para autenticar y encriptar (además de comprimir) una comunicación entre dos extremos, en base a un identificador y una contraseña.2Una PKI está compuesta por una serie de entidades, Usuarios, Autoridad de Registro, Autoridad de certificación, Servidores de tiempo y Repositorio de la información.

52


A continuación se enumeran algunos de los métodos, sin entrar al tema de la protección de la red frente a ataques o intentos de intrusión desde redes externas, tales como Internet.

c.1) Redes cableadas

Las rosetas de conexión de los edificios deben estar protegidas y vigiladas.

Una medida básica es evitar tener puntos de red conectados a los switches.

Aún así siempre puede ser sustituido un equipo por otro no autorizado con lo

que hacen falta medidas adicionales: norma de acceso 802.1x, listas de control

de acceso por MAC addresses, servidores de DHCP por asignación reservada,

etc.

c.2) Redes Inalámbricas

En este caso el control físico se hace más difícil, si bien se pueden tomar

medidas de contención de la emisión electromagnética para circunscribirla a

aquellos lugares que consideremos apropiados y seguros. Además se

consideran medidas de calidad el uso del cifrado ( WPA, WPA v.2, uso de

certificados digitales, etc.), contraseñas compartidas y, también en este caso,

los filtros de direcciones MAC, son varias de las medidas habituales que

cuando se aplican conjuntamente aumentan la seguridad de forma

considerable frente al uso de un único método.

e. Sanitización

Proceso lógico y/o físico mediante el cual se remueve información considerada

sensible o confidencial de un medio ya sea físico o magnético, ya sea con el

objeto de desclasificarlo, reutilizar el medio o destruir el medio en el cual se

encuentra.

7. Responsabilidades del Área de Seguridad Informática

53

http://es.wikipedia.org/wiki/WPA2

http://es.wikipedia.org/wiki/WPA

http://es.wikipedia.org/wiki/DHCP

http://es.wikipedia.org/wiki/MAC_address

http://es.wikipedia.org/wiki/Conmutador_(dispositivo_de_red)



El área organizacional encargada de la administración encargada de la

administración de seguridad de información tiene como responsabilidades:

Establecer y documentar las responsabilidades de la organización en

cuanto a seguridad de información.

Mantener la política y estándares de seguridad de información de la

organización.

Identificar objetivos de seguridad y estándares de la entidad.

Definir metodologías y procesos relacionados a la seguridad de información.

Comunicar aspectos básicos de seguridad de información a los empleados

de la entidad. Esto incluye un programa de concientización para comunicar

aspectos básicos de seguridad de información y de las políticas de la

entidad.

Desarrollar controles para las tecnologías que utiliza la organización. Esto

incluye el monitoreo de vulnerabilidad documentadas por los proveedores.

Monitorear el cumplimiento de la política de seguridad de la entidad.

54


Controlar e investigar incidentes de seguridad o violaciones de seguridad.

Realizar una evaluación periódica de vulnerabilidades de los sistemas que

conforman la red de datos de la entidad.

Evaluar aspectos de seguridad de productos de tecnología, sistemas o

aplicaciones utilizados en la entidad.

Asistir a las gerencias de división en la evaluación de seguridad de las

iniciativas del negocio.

Verificar que cada activo de información de la entidad haya sido asignado a

un ¨propietario¨ el cual debe definir los requerimientos de seguridad como

políticas de protección, perfiles de acceso, respuestas de incidentes y sea

responsable final del mismo.

Administrar un programa de clasificación de activos de información,

incluyendo la identificación de los propietarios de las aplicaciones y datos.

Coordinación de todas las funciones relacionadas a seguridad, como

seguridad física, seguridad personal y seguridad de información

almacenada en medios no electrónicos.

Desarrollar y administrar el presupuesto de seguridad de información.

Reportar periódicamente a la gerencia de Administración y Operaciones.

Administración de acceso a las principales aplicaciones de la entidad.

Elaborar y mantener un registro con la relación de los accesos de los

usuarios sobre los sistemas y aplicaciones de la entidad y realizar

revisiones periódicas de la configuración de dichos accesos en los

sistemas.

Controlar aspectos de seguridad en el intercambio de información con

entidades externas.

Monitorear la aplicación de los controles de seguridad física de los

principales activos de información.

8.Actores que amenazan la seguridad

Un hacker es cualquier persona con amplios conocimientos en tecnología, bien

puede ser informática, electrónica o comunicaciones, mantiene

permanentemente actualizado y conoce a fondo todo lo relacionado con

55


programación y sistemas complejos; es un investigador nato que se inclina ante

todo por conocer lo relacionado con cadenas de datos cifrados y las

posibilidades de acceder a cualquier tipo de "información segura". Su formación

y las habilidades que poseen les da una experticia mayor que les permite

acceder a sistemas de información seguros, sin ser descubiertos, y también les

da la posibilidad de difundir sus conocimientos para que las demás personas se

enteren de cómo es que realmente funciona la tecnología y conozcan las

debilidades de sus propios sistemas de información.

Un cracker, es aquella persona con comportamiento compulsivo, que alardea

de su capacidad para reventar sistemas electrónicos e informáticos. Un cracker

es un hábil conocedor de programación de Software y Hardware; diseña y

fabrica programas de guerra y hardware para reventar software y

comunicaciones como el teléfono, el correo electrónico o el control de otros

computadores remotos.

Un lamer Es una persona que alardea de pirata informático, cracker o hacker y

solo intenta utilizar programas de FÁCIL manejo realizados por auténticos

hackers.

Un copyhacker' es una persona dedicada a falsificar y crackear hardware,

específicamente en el sector de tarjetas inteligentes. Su estrategia radica en

establecer amistad con los verdaderos Hackers, para copiarles los métodos de

ruptura y después venderlos los bucaneros. Los copyhackers se interesan por

poseer conocimientos de tecnología, son aficionados a las revistas técnicas y a

leer todo lo que hay en la red. Su principal motivación es el dinero.

Un "bucanero" es un comerciante que depende exclusivamente de de la red

para su actividad. Los "bucaneros" no poseen ningún tipo de formación en el

área de los sistemas, si poseen un amplio conocimiento en área de los

negocios.

Un phreaker se caracterizan por poseer vastos conocimientos en el área de

telefonía terrestre y móvil, incluso más que los propios técnicos de las

56


compañías telefónicas; recientemente con el auge de los teléfonos móviles,

han tenido que entrar también en el mundo de la informática y del

procesamiento de datos.

Un newbie o "novato de red" es un individuo que sin proponérselo tropieza con

una página de hacking y descubre que en ella existen áreas de descarga de

buenos programas de hackeo, baja todo lo que puede y empieza a trabajar con

ellos.

Un script kiddie o skidkiddie, es un simple usuario de Internet, sin

conocimientos sobre hackeo o crackeo que, aunque aficionado a estos tema,

no los conoce en profundidad limitándose a recopilar información de la red y a

buscar programas que luego ejecuta, infectando en algunos casos de virus a

sus propios equipos.

Y estos actores operan mediante ataques organizativos: Hay una organización

que entra en la red para intentar tener acceso a información confidencial con el

fin de obtener una ventaja empresarial.

Los ataques automatizados: utilizan software para examinar posibles

vulnerabilidades de la red o para implementar un ataque electrónico violento,

en estos ataques violentos o ataques por fuerza bruta se intenta usar muchos

nombres de usuario y contraseñas diferentes u otro tipo de credenciales para

obtener acceso a los recursos.

57



Los ataques por denegación de servicio: desbordan un servidor con solicitudes

lo que hace que el mismo no sea capaz de ofrecer su servicio normal.

Los virus, caballos de Troya, gusanos, son programas peligrosos que actúan

explotando algunas vulnerabilidades conocidas para instalarse a sí mismos en

un equipo, muchas veces entran como datos adjuntos de un mensaje de correo

electrónico; una vez allí distribuyen copias de sí mismos a otros equipos

conectados y estas copias también se replican a sí mismas produciendo una

rápida infección de toda la red informática.

Las infracciones accidentales de seguridad suelen ser consecuencia de

prácticas o procedimientos deficiente, por ejemplo si queda expuesta

públicamente cierta información de seguridad como nombre de usuario y

contraseña un atacante puede aprovechar dicha información para tener acceso

a la red.

8.1. Mejores prácticas

58


01 Utilizar estrategias de defensa profunda

Emplee activamente sistemas defensivos múltiples, superpuestos y de soporte

mutuo para protegerse contra fallas de punto único en cualquier tecnología o

método de protección específico. Esto debe incluir la implementación de

firewalls actualizados con regularidad, así como antivirus de puertas de enlace,

sistemas de detección o protección contra intrusiones (IPS), escaneos de

vulnerabilidad de sitios web con protección contra malware y soluciones de

seguridad de puertas de enlace web en toda la red.

02 Monitorear para detectar intentos de incursión en la red,

vulnerabilidades y abuso de marca

Reciba alertas sobre nuevas vulnerabilidades y amenazas en las plataformas

de los diversos proveedores para tomar medidas de reparación proactivas.

Detecte casos de abuso de marca mediante alertas de dominio e informes

sobre sitios web ficticios.

03 Un antivirus en los endpoints no alcanza

En los endpoints, es importante tener instaladas las últimas versiones de

software antivirus, pero esto por sí solo no brindará una protección completa.

Se debe implementar y usar un producto integral para seguridad en extremos

que tenga capas adicionales de protección, incluyendo:

• Prevención contra intrusión en extremos que impida el aprovechamiento de

vulnerabilidades sin parche, proteja contra ataques de ingeniería social y evite

que el malware llegue a los endpoints.

• Protección del explorador para evitar ataques complejos basados en la web

• Soluciones de reputación basadas en archivos y en la web que proporcionen

una calificación de riesgo y reputación de cualquier aplicación y sitio web para

impedir la ejecución de malwarepolimórfico y de mutación veloz.

59


• Funciones de prevención conductual que observen la actividad de las

aplicaciones e impidan la ejecución de malware.

• Configuración del control de las aplicaciones que impida que éstas y los

complementos (plug-ins) del explorador descarguen contenido malicioso no

autorizado.

• Configuración del control de los dispositivos que impida y limite los tipos de

dispositivos USB que se utilizarán.

04 Proteger sus sitios web contra “Man In The Middle” (ataques de

intermediarios)e infecciones de malware

Evite comprometer su relación de confianza con sus clientes tomando las

siguientes medidas:

• Configurar “SSL AlwaysOn” (protección SSL en su sitio web desde el inicio

hasta el cierre de sesión).

• Escanear su sitio web en forma diaria para detectar malware.

• Establecer el marcador seguro para todas las cookies de la sesión.

• Evaluar periódicamente su sitio web para detectar vulnerabilidades (en 2013,

uno de cada 8 sitios web escaneados tenía vulnerabilidades) .

• Optar por Certificados SSL con Validación Extendida, que muestra a los

usuarios del sitio web la barra de direcciones del explorador en verde.

• Mostrar marcas de confianza reconocidas en ubicaciones de gran visibilidad

en su sitio web para demostrar a sus clientes su compromiso con la seguridad.

05 Proteger sus claves privadas

Asegúrese de obtener sus certificados digitales de una autoridad reconocida y

confiable que demuestre excelentes prácticas de seguridad.

60


Se recomienda a las organizaciones:

• Usar infraestructuras independientes de Firma de Prueba y Firma de Versión

• Proteger las claves en dispositivos de hardware seguro, criptográfico y a

prueba de alteraciones.

• Implementar seguridad física para proteger sus activos contra robos.

06 Usar encriptación para proteger datos sensibles

Se recomienda implementar y hacer cumplir una política de seguridad que exija

que todo dato sensible sea encriptado. El acceso a la información sensible

debe ser restringido. Esto debe incluir una solución de Protección Contra

Pérdida de Datos (DLP). Asegúrese de que los datos de los clientes también

estén encriptados. Esto sirve no sólo para impedir violaciones de datos sino

que además puede ayudar a mitigar los daños provocados por las posibles

fugas de datos desde dentro de una organización. Use la Prevención Contra

Pérdida de Datos para ayudar a prevenir las violaciones de datos: Implemente

una solución de DLP capaz de descubrir dónde reside la información sensible,

monitorear su uso y protegerlos contra pérdidas. Debe implementarse la

prevención contra pérdida de datos para monitorear el flujo de información a

medida que va saliendo de la organización hacia la red, y el tráfico hacia

dispositivos externos o sitios web.

• La solución de DLP debe configurarse para identificar y bloquear acciones

sospechosas de copiado o descarga de datos sensibles.

• También debe utilizarse para identificar activos de datos confidenciales.

07 Asegurarse de que todos los dispositivos autorizados con acceso a las

redes de la empresa tengan protecciones de seguridad adecuadas

61


Si se aplica una política de ‘Traiga su propio dispositivo’ (BYOD), asegúrese de

que haya un perfil de seguridad mínimo para todo dispositivo autorizado a

acceder a la red.

08 Implementar una política de medios extraíbles

Cuando sea práctico, restringir los dispositivos no autorizados, tales como

discos duros externos portátiles y otros medios extraíbles. Tales dispositivos

pueden introducir malware y facilitar las infracciones de propiedad intelectual,

ya sea de manera intencional o no. Si los dispositivos de medios externos

están permitidos, automáticamente escanearlos en caso de virus ya que se

conectan a la red, también usar una solución de prevención de pérdida de

datos para monitorear y restringir la copia de información confidencial a

dispositivos de almacenamiento externo sin encriptar.

09 Tomar medidas enérgicas de actualización y aplicación de parches

Haga actualizaciones, parcheos y migraciones desde exploradores,

aplicaciones y complementos de exploradores obsoletos e inseguros.

Siempre tenga las últimas versiones disponibles de las definiciones de

prevención de virus e intrusiones utilizando los mecanismos de actualización

automática de los proveedores. La mayoría de los proveedores de software

trabajan con esmero para parchar las vulnerabilidades de software explotadas;

sin embargo, los parches sólo pueden ser eficaces si se adoptan en el campo.

Siempre que sea posible, conviene automatizar las implementaciones de

parches para mantener la protección contra vulnerabilidades en toda la

organización.

10 Aplicar una política de contraseñas eficaz

Asegúrese de que las contraseñas sean sólidas, con un mínimo de 8-10

caracteres de largo y con una combinación de letras y números.

62


Recomiende a los usuarios evitar reutilizar las mismas contraseñas en distintos

sitios web y compartir sus contraseñas con otras personas, práctica que

debería estar prohibida. Las contraseñas se deben cambiar con regularidad, al

menos cada 90 días.

11 Hacer copias de seguridad regularmente

Es recomendable crear y mantener copias de seguridad (backups) de los

sistemas críticos y de los extremos con regularidad. Si ocurriera una

emergencia de seguridad o de datos, se debe poder acceder fácilmente a las

copias de seguridad para minimizar el tiempo de inactividad de los servicios y

garantizar la productividad de los empleados.

12 Restringir los archivos adjuntos de correo electrónico

Configure los servidores de correo para bloquear o eliminar mensajes que

contengan archivos adjuntos que suelen usarse para difundir virus, por ejemplo

archivos .VBS, .BAT, .EXE, .PIF y .SCR. Las empresas deben examinar las

políticas relativas a los archivos .PDF autorizadas a incluirse como datos

adjuntos. Asegúrese de que los servidores de correo estén bien protegidos por

software de seguridad, y de que los mensajes se escaneen de forma

exhaustiva.

13 Asegurarse de contar con procedimientos de respuesta a infecciones e

incidentes

63


• Tenga siempre a mano los datos de contacto de su proveedor de soluciones

de seguridad, sepa a quién va a llamar y qué pasos va a seguir si tiene uno o

más sistemas infectados.

• Asegúrese de contar con una solución de copias de seguridad y restauración

para recuperar datos perdidos o comprometidos si ocurriera un ataque exitoso

o una pérdida de datos grave.

• Aproveche las funciones de detección post infección de los cortafuegos y

soluciones de seguridad de puertas de enlace web y extremos para identificar

sistemas infectados.

• Aísle las computadoras infectadas para prevenir el riesgo de infectar otros

equipos de la organización, y recupere los datos usando medios confiables de

copias de seguridad.

• Si los servicios de red son víctimas de un código malicioso o alguna otra

amenaza, hay que deshabilitar o bloquear el acceso a esos servicios hasta

aplicar un parche.

14 Educar a los usuarios acerca de los protocolos básicos de seguridad

• No abra datos adjuntos si no esperaba recibirlos o si no provienen de una

fuente conocida y confiable, y no ejecute software descargado de Internet (si se

permiten dichas acciones), salvo que la descarga haya sido escaneada para

detectar virus y malware.

• Se debe tener cuidado al hacer clic en URL en mensajes de correo

electrónico o programas de redes sociales, incluso cuando provienen de

fuentes confiables y amigos.

• Implemente soluciones con complementos de reputación de URL en

exploradores web que muestren la reputación de los sitios webdesde las

búsquedas.

64


• Descargue únicamente software (si está permitido) compartido por la

empresa, o directamente del sitio web del proveedor.

• Si los usuarios de Windows ven una advertencia que indica que están

“infectados” luego de hacer clic en una URL o de usar un motor de búsqueda

(infecciones de antivirus falsos), se debe enseñar a los usuarios a cerrar o salir

del explorador pulsando Alt-F4 o CTRL+W o utilizando el administrador de

tareas.

9. Medios de transmisión de ataques a los sistemas de seguridad

En la actualidad gracias a la gran cantidad posibilidades que se tiene para

tener acceso a los recursos de manera remota y al gran incremento en las

conexiones al internet los delitos en el ámbito de TI se han visto

incrementados, bajo estas circunstancias los riesgos informáticos son más

latentes. Los delitos cometidos mediante el uso de la computadora han crecido

en tamaño, forma y variedad. Los principales delitos hechos por computadora o

por medio de computadoras son:

Fraudes

Falsificación

Venta de información

Ahora una lista con los diez hackers más famosos del mundo, describiendo, por

supuesto, las hazañas” que lanzaron a estos genios informáticos a la

popularidad.

1. Kevin Mitnick

La lista de hackers la encabeza el norteamericano Kevin Mitnick, también

conocido como “El Cóndor”. El Departamento de Justicia de Estados Unidos lo

calificó como “el criminal informático más buscado de la historia" de ese país.

65


Mitnick cobró fama a partir de los años 80, cuando logró penetrar sistemas ultra

protegidos, como los de Nokia y Motorota, robar secretos corporativos y hasta

hackear a otros hackers.

Lo apresaron en 1995 y tras su puesta en libertad en 2002 se dedica a la

consultoría y el asesoramiento en materia de seguridad, a través de su

compañía Mitnick Security.

2. Kevin Poulson

Poulson logró fama en 1990 por hackear las líneas telefónicas de la radio KIIS-

FM de Los Angeles, para asegurarse la llamada número 102 y ganar así un

Porsche 944 S2. Y fue apresado tras atacar una base de datos del FBI en

1991.

3. Adrian Lamo

Originario de Boston, es conocido en el mundo informático como “El hacker

vagabundo” por realizar todos sus ataques desde cibercafés y bibliotecas.

Su trabajo más famoso fue la inclusión de su nombre en la lista de expertos de

New York Times y penetrar la red de Microsoft.

4. Stephen Wozniak

Wozniak comenzó su carrera como hacker de sistemas telefónicos para

realizar llamadas gratis; se dice que hasta llamó al Papa en los años 70.

Más tarde formó Apple Computer con su amigo Steve Jobs y hoy apoya a

comunidades educativas de escasos recursos con moderna tecnología.

5. Michael Calce

El día de San Valentín de 2000, con apenas 15 años de edad, lanzó un ataque

que afectó a eBay, Amazon y Yahoo!, tras lo cual fue condenado a uso limitado

de Internet.

66


6. Robert Tappan Morris

En noviembre de 1988, Robert Tappan Morris, también apodado RTM, creó un

virus informático que infectó a cerca de seis mil grandes máquinas Unix,

haciéndolas tan lentas que quedaron inutilizables, causando millonarias

Este hacker fue el primero en ser procesado por la ley de fraude computacional

en Estados Unidos y un disco duro que contiene el código de su virus se exhibe

en el Museo de la Ciencia de Boston.

7. Masters of Deception

Era un grupo de hackers de elite de Nueva York que se dedicaba a vulnerar los

sistemas de teléfono de Estados Unidos.

8. Sven Jaschan

Cierra la lista el creador del virus Sasser, quien fue detenido en mayo de 2004

tras una denuncia de sus vecinos que perseguían la recompensa incitada por la

empresa Microsoft, ya que el virus afectaba directamente la estabilidad de

Windows 2000, 2003 Server y Windows XP.

10. Organismos oficiales de seguridad informática

Existen organismos oficiales encargados de asegurar servicios de prevención

de riesgos y asistencia a los tratamientos de incidencias, tales como el

Computer Emergency Response Team Coordination Center del Software

EngineeringInstitute de la Carnegie Mellon University el cual es un centro de

alerta y reacción frente a los ataques informáticos, destinados a las empresas o

administradores, pero generalmente estas informaciones son accesibles a todo

el mundo.

España: Con el Instituto Nacional de Tecnologías de la Comunicación

(INTECO).

67


Unión Europea: Con el Centro Europeo de Ciberdelincuencia y es el punto

central de la lucha de la UE contra la delincuencia cibernética, contribuyendo a

una reacción más rápida a los delitos en línea.

Alemania: El Centro Nacional de Defensa Cibernética que se encuentra en

Bonn coopera estrechamente con la Oficina Federal para la Seguridad de la

Información, la Oficina Federal de Investigación Criminal; el Servicio Federal de

Inteligencia; el Servicio de Inteligencia Militar y otras organizaciones nacionales

en Alemania, con la tarea primordial de detectar y prevenir los ataques contra

la infraestructura nacional.

10. Perú

Grafico Nº 40 - Fuente: Internet.

En Perú, dos organismos asumen la responsabilidad principal en las iniciativas

vinculadas con la seguridad y delitos cibernéticos. El PeCERT, el equipo de

respuesta a incidentes de seguridad cibernéticos (CSIRT) peruano, se fundó en

2009 y es la principal entidad responsable de los asuntos relacionados con la

seguridad cibernética en Perú, incluidas la prevención y gestión de incidentes.

La investigación de los delitos cibernéticos y las responsabilidades

correspondientes le competen fundamentalmente a la División de Investigación

de Alta Tecnología (DIVINDAT), comprendida en la Dirección de Investigación

Criminal (DIRINCRI) de la Policía Nacional del Perú (PNP).

Si bien el PeCERT es un CSIRT operativo con responsabilidades a nivel

nacional, en la actualidad se encuentra abocado a la tarea de revisar y

68


actualizar sus mecanismos, procedimientos y políticas en materia de respuesta

ante incidentes.

Perú no posee una estrategia o política nacional oficial de seguridad

cibernética, pero actualmente trabaja en su elaboración.

Tanto la DIVINDAT como el PeCERT capacitan intensamente a su personal

con el fin de que desarrolle y mantenga la capacidad requerida para

desempeñar sus funciones básicas. La DIVINDAT, por ejemplo, informa que

lleva a cabo regularmente talleres orientados a actualizar los conocimientos y

las habilidades de su personal en lo que respecta al uso eficiente de

herramientas de análisis forense digital. Si bien se informó que en Perú existen

instituciones académicas que ofrecen programas degrado con

especializaciones en seguridad cibernética y delito cibernético, no se brindó

información acerca de si los funcionarios gubernamentales accedían a esas

oportunidades de formación.

En lo que atañe al aspecto legislativo, la reciente aprobación de tres leyes –la

Ley que Incorpora los Delitos Cibernéticos al Código Penal (Ley 27309), la Ley

de Protección de Datos Personales (Ley 29733) y la Ley de Delitos

Cibernéticos (Ley 30096)– ha fortalecido el marco jurídico con que cuenta el

país para promover la seguridad cibernética y combatir el delito cibernético. Se

encuentran en estudio otras modificaciones de leyes en vigor.

Las entidades del sector privado no tienen obligación de denunciar incidentes

cibernéticos ante las autoridades nacionales competentes. No obstante, el

PeCERT ha iniciado conversaciones orientadas a aumentar la colaboración con

el sector privado, en particular con ISP (proveedores de servicios de Internet) y

bancos. Esta iniciativa obedece, en parte, al reconocimiento de que las

empresas privadas suelen contar con mayor capacidad para detectar tráfico

inusual y ataques, así como con sistemas de gestión de la seguridad más

consolidados, y serían, por ese motivo, socios de inmenso valor en la labor de

asegurar la infraestructura nacional.

69


La colaboración y el intercambio de información con autoridades nacionales

competentes de otros países ha sido algo limitada; este es un aspecto que se

mencionó como una de las áreas en las que deberán implementarse nuevas

medidas en el futuro.

Tanto el PeCERT como la DIVINDAT indicaron que se encuentran activamente

abocados a mejorar la seguridad de la población a la que atienden, así como a

incrementar su capacidad de recuperación y resiliencia. Esas iniciativas

consisten en una combinación de medidas preventivas y reactivas.

En lo correspondiente a la prevención, se asignó prioridad fundamental a las

campañas educativas y de concientización internas y externas. Las campañas

de concientización internas conducidas dentro de las propias instituciones

incluyeron una variedad de actividades orientadas a lograr que los usuarios

comprendan conceptos que no siempre se asocian con la seguridad cibernética

pero que son clave para que exista, como por ejemplo la seguridad física,

seguridad lógica y la seguridad humana. Respecto de las actividades de

concientización externas, se llevaron a cabo campañas en los medios de

comunicación, y se efectuaron actividades de difusión de información y

educación en entidades del sector privado como bancos, servicios de

procesamiento de pagos y otras entidades empresariales y comerciales.

También se dirigieron campañas de concientización a la ciudadanía en general

en las que se enfatizaba la adopción de buenas prácticas básicas para reducir

la vulnerabilidad y proteger la propia identidad y los datos personales al usar

Internet y las TIC (tecnologías de la Información y la Comunicación).

La DIVINDAT solicita la ayuda de entidades extranjeras toda vez que es

apropiado. Asimismo, mantiene relaciones activas de cooperación con ONG

nacionales e internacionales dedicadas a la lucha contra los delitos cibernéticos

y otros actos ilícitos que involucren el uso de TIC (trata de personas,

prostitución, pornografía, tráfico de órganos, etc.) y apoya sus iniciativas.

El PeCERT y la DIVINDAT señalaron la existencia de diversos impedimentos

que deberán superarse con el fin de mejorar la posición del país en materia de

70


seguridad cibernética y mejorar su capacidad para combatir el delito

cibernético. Los obstáculos relativos al acceso a la información recibieron

particular atención, entre ellos la dificultad de obtener datos de los ISP u otros

proveedores de servicios de manera oportuna. También se indicaron como

impedimentos clave la insuficiencia de recursos y la falta de voluntad de

compartir información y cooperar por parte de otras instituciones

gubernamentales y privadas.

Los datos oficiales muestran que en 2013 se registró un incremento de

alrededor de 30% en la cantidad de incidentes cibernéticos denunciados ante

autoridades nacionales e identifican al sector empresarial, el académico, el de

las telecomunicaciones y el policial como los sectores más afectados de la

población, entre otras instituciones del sector público.

En 2013, se denunció una amplia variedad de delitos ante las autoridades; los

más comunes fueron: clonación de tarjetas de crédito, suplantación de

identidad, amenazas por correo electrónico, intrusión mediante hackeo o

crackeo, acceso no autorizado a bases de datos, extorsión por Internet,

chantaje sexual, operaciones financieras fraudulentas, pornografía infantil y

piratería de software. Las técnicas empleadas para perpetrar esas actividades

fueron tan variadas como los actos delictivos e incluyeron: intrusiones en

puntos de venta (PoS), ingeniería social, pharming (estafa a través de

ingeniería social y sitios fraudulentos), phishing (suplantación de identidad) y

malware (programas maliciosos).

La DIVINDAT informó que en 2013 se registraron varios incidentes de impacto

relativamente alto, a los cuales lograron responder con eficacia: la división

identificó, localizó y aprehendió a los culpables y los entregó a las autoridades

judiciales competentes. En un caso, el presidente de una institución estatal

recibía mensajes de correos electrónicos amenazantes y difamatorios.

Mediante la aplicación de técnicas forenses, el personal de la DIVINDAT logró

determinar el origen de los mensajes de correo electrónico e identificar el

remitente; a continuación, notificó a sus colegas de la Policía Nacional con el

71


fin de iniciar el procesamiento penal del infractor. El PeCERT, en otro caso,

respondió con éxito a un ataque (vandalismo) contra el portal web de la

Presidencia de la Nación: obtuvo acceso a la información pertinente, la analizó

y adoptó las medidas necesarias para restaurar su integridad.

CONCLUSIONES

Parece evidente concluir que la seguridad no es un pequeño apartado

más dentro de las tecnologías de la información, sino que debe

abarcarlas en su totalidad. Un buen plan de seguridad debe ser integral

o dejará de ser un plan de seguridad. Debe contar con todos los

recursos: organizativos, humanos, instalaciones, hardware, software,

además de partir de los niveles altos en la jerarquía de la organización.

En toda organización debe existir un equipo de expertos con sus

herramientas preventivas y de detección, así como con sus mecanismos

de recuperación y de auditoría. El mundo de la seguridad es algo vivo

que debe ser continuamente evaluado y actualizado.

Si bien día a día aparecen nuevos y complejos tipos de incidentes, aún se registran fallas de seguridad de fácil resolución técnica, las cuales ocurren en muchos casos por falta de conocimientos sobre los riesgos que acarrean. Por otro lado, los incidentes de seguridad impactan en forma cada vez más directa sobre las personas. En consecuencia, se requieren efectivas acciones de concientización, capacitación y difusión de mejores prácticas.

Es necesario mantener un estado de alerta y actualización permanente: la seguridad es un proceso continuo que exige aprender sobre las propias experiencias.

72


Las organizaciones no pueden permitirse considerar la seguridad como un proceso o un producto aislado de los demás. La seguridad tiene que formar parte de las organizaciones.

Debido a las constantes amenazas en que se encuentran los sistemas, es necesario que los usuarios y las empresas enfoquen su atención en el grado de vulnerabilidad y en las herramientas de seguridad con las que cuentan para hacerle frente a posibles ataques informáticos que luego se pueden traducir en grandes pérdidas.

La falta de cultura informática es un factor crítico en el impacto de los delitos informáticos en la sociedad en general, cada vez se requieren mayores conocimientos en tecnologías de la información, las cuales permitan tener un marco de referencia aceptable para el manejo de dichas situaciones.

Nuevas formas de hacer negocios como el comercio electrónico puede que no encuentre el eco esperado en los individuos y en las empresas hacia los que va dirigido ésta tecnología, por lo que se deben crear instrumentos legales efectivos que ataquen ésta problemática, con el único fin de tener un marco legal que se utilice como soporte para el manejo de éste tipo de transacciones.

73


RECOMENDACIONES

Actualice regularmente su sistema operativo y el software instalado en su equipo, poniendo especial atención a las actualizaciones de su navegador web. Estar al día con las actualizaciones, así como aplicar los parches de seguridad recomendados por los fabricantes, le ayudará a prevenir la posible intrusión de hackers y la aparición de nuevos virus.

Instale un Antivirus y actualícelo con frecuencia. Analice con su antivirus todos los dispositivos de almacenamiento de datos que utilice y todos los archivos nuevos, especialmente aquellos archivos descargados de internet.

Instale un Firewall o Cortafuegos con el fin de restringir accesos no autorizados de Internet.

Utilice contraseñas seguras, es decir, aquellas compuestas por ocho caracteres, como mínimo, y que combinen letras, números y símbolos. Es conveniente además, que modifique sus contraseñas con frecuencia. En especial, le recomendamos que cambie la clave de su cuenta de correo si accede con frecuencia desde equipos públicos.

Navegue por páginas web seguras y de confianza. Para diferenciarlas identifique si dichas páginas tienen algún sello o certificado que garanticen su calidad y fiabilidad. Extreme la precaución si va a realizar compras online o va a facilitar información confidencial a través de internet.

74


Ponga especial atención en el tratamiento de su correo electrónico, ya que es una de las herramientas más utilizadas para llevar a cabo estafas, introducir virus, etc.

No abra mensajes de correo de remitentes desconocidos.

Desconfíe de aquellos e-mails en los que entidades bancarias, compañías de subastas o sitios de venta online, le solicitan contraseñas, información confidencial, etc.

No propague aquellos mensajes de correo con contenido dudoso y que le piden ser reenviados a todos sus contactos. Este tipo de mensajes, conocidos como hoaxes, pretenden avisar de la aparición de nuevos virus, transmitir leyendas urbanas o mensajes solidarios, difundir noticias impactantes, etc.

En general, es fundamental estar al día de la aparición de nuevas técnicas que amenazan la seguridad de su equipo informático, para tratar de evitarlas o de aplicar la solución más efectiva posible.

Aumentar la conciencia sobre los hábitos cibernéticos y la sensibilidad general hacia la seguridad cibernética entre los usuarios finales, los operadores de infraestructuras críticas y los funcionarios gubernamentales. Esto dificultará que los delincuentes cibernéticos perpetren ataques que han sido comunes contra estos tres grupos. La sensibilización puede ser una de las maneras más baratas y eficaces de minimizar los riesgos a la seguridad cibernética y cerrar las brechas de seguridad que siguen estando totalmente abiertas.

Invertir y promover la matriculación en programas de formación técnica. La protección de redes gubernamentales y privadas requiere conocimientos técnicos difíciles de adquirir a corto plazo. Junto con las campañas de sensibilización en las escuelas, las instituciones académicas necesitan esforzarse más para atraer estudiantes hacia los itinerarios formativos en ciencias informáticas y seguridad informática. Esto asegurará que se disponga de un gran acervo de candidatos calificados del cual extraer a los profesionales que se requerirán para cubrir el número creciente de carreras profesionales en seguridad informática.

75


Seguir fortaleciendo los mecanismos de política para asignar funciones y responsabilidades gubernamentales relacionadas con la seguridad cibernética y codificar mecanismos de intercambio de información y cooperación. Esta labor se ha iniciado ya, pero es hora de que todos los Estados reflexionen estratégicamente sobre cómo desarrollarán sus regímenes de seguridad cibernética, hacia dónde enfocarán sus esfuerzos y cómo convertirán sus visiones en realidades.

ANEXOS

Nota de prensa

Piratas informáticos peruanos son los más hábiles y exitosos de Sudamérica

Sábado, 06 de septiembre del 2014

Además de intervenir las redes del gobierno de Perú y destapar casos como los Cornejoleaks, también lograron extraer información gubernamental de Argentina, Chile, Colombia y Venezuela.

Un grupo de piratas informáticos peruanos se ha infiltrado a las redes de las fuerzas armadas y la policía de su país, así como de otras agencias gubernamentales en Argentina, Colombia, Chile y Venezuela, desarticulándolas y extrayéndoles datos delicados para lucir su destreza cibernética y apuntarse puntos políticos.

Sin embargo, su proeza más reciente podría ser la que tenga más consecuencias.

Los correos electrónicos robados por los intrusos del grupo LulzSecPeru a la red del Consejo de Ministros Peruanos y divulgados en internet el mes pasado desataron acusaciones de que altos ministros del gabinete han actuado más como cabilderos industriales que como servidores públicos. Ayudaron a precipitar un voto de no confianza la semana pasada al que apenas pudo sobrevivir el gabinete.

76


Los piratas integran una versión local y compacta del colectivo de intrusos cibernéticos LulzSec, con sede en Estados Unidos y Gran Bretaña, que agrupa a los llamados piratas de “sombrero negro”, los cuales violan la seguridad de las computadoras simplemente por superar un reto, o también para obtener ganancias personales.

El grupo LulzSec surgió del movimiento Anonymous, que ha atacado los sistemas de la Iglesia de la Cienciología y ha promovido agitación en favor de la filtración de documentos del escándalo WikiLeaks y del movimiento Ocupemos Wall Street.

Gran parte del activismo de los piratas cibernéticos fuera de Estados Unidos y Europa occidental ha perdido fuerza o se ha visto obligado a operar en la clandestinidad después de enfrentar presión policial y arrestos, dijo Gabriella Coleman, antropóloga en la Universidad McGill, en Montreal, Canadá, quien ha estudiado el fenómeno.

“Sin embargo, los piratas informáticos en Latinoamérica nunca se detuvieron realmente”, señaló Coleman.

De ellos, LulzSecPeru es considerado ampliamente como el equipo de piratas activistas más hábil y con más éxitos en la región, dijo Camilo Galdós, experto peruano en seguridad digital. Uno de sus actos más notorios fue secuestrar las cuentas en Twitter del presidente venezolano y del gobernante Partido Socialista Unido de Venezuela durante las elecciones en ese país el año pasado.

“Happy hunting!” (¡feliz cacería!) escribieron los piratas informáticos de LulzSecPeru —se dice que son dos hombres jóvenes— el mes pasado cuando colocaron en internet los aproximadamente 3.500 correos electrónicos del entonces primer ministro René Cornejo, fechados de febrero a julio.

“La preocupación no es tanto por la información que se va a encontrar allí, sino por el hecho que se ha vulnerado la privacidad”, declaró Cornejo a periodistas. Su sucesora, Ana Jara, dijo que algunos de los correos robados podrían haber tocado asuntos de “defensa nacional”.

Pero lo que el público halló en ellos fue evidencia de la influencia de los cabilderos de las industrias peruanas de la pesca y el petróleo, lo que generó una enorme presión sobre los ministros de Energía y de Finanzas.

77


En una de las misivas, una ejecutiva de la pesca le pregunta al ministro de Finanzas si podría ampliarse la temporada de extracción de la anchoveta. Posteriormente ve concedido su deseo.

El ministro de Energía, en un irritado intercambio de correos, rechaza impacientemente las objeciones del ministro del Medio Ambiente en torno a sus cálidas relaciones con una compañía petrolera australiana con relación a concesiones para extraer crudo del mar. Los técnicos de la industria petrolera —no los reguladores— son los mejor capacitados para determinar si se requieren estudios de impacto ambiental para las pruebas sísmicas de exploración, afirma el ministro de Energía.

El espectáculo de los “CornejoLeaks”, como los apodó la prensa, les agradó mucho a los piratas informáticos.

“Nosotros estamos metidos en todo”, alardeó uno de los dos, apodado Cyber-Rat (rata cibernética), en una charla encriptada en línea con The Associated Press a la que llegó por medio de un túnel informático, con lo cual ocultó sus huellas digitales. “No hay límites en el hacking (piratería informática)”.

Cyber-Rat dice tener 17 años y asegura que dejará la piratería antes de convertirse en adulto con el fin de evitar ir a la cárcel. Se encarga de la labor intrusiva en las redes sociales, cultiva la relación con los activistas de Anonymous que ayudan a dar publicidad a los logros de LulzSecPeru y admite tener una tendencia “al narcisismo”.

Su socio lleva el apodo de Desh501, dice tener entre 19 y 23 años y ser estudiante universitario. Desh es el experto tecnológico, y es más reservado.

“Soy muy cerrado. No tengo amigos hackers en persona, sólo virtualmente”, escribe.

Ambos dicen ser autodidactas. Cyber-Rat señala que comenzó a programar a los 8 años, mientras que Desh empezó a los 6.

Cyber-Rat menciona que su labor de piratería no está realmente impulsada por alguna ideología.

“Es una búsqueda del éxtasis de hacer algo sin precedentes”, afirmó, refiriéndose al hecho de avergonzar a administradores de redes que dicen que éstas son a prueba de todo.

Sin embargo, las acciones de estos piratas no siempre concuerdan con esa afirmación.

78


Desh dijo estar motivado por objeciones a “1. el abuso de poder”, y “2. la falta de transparencia”.

Es evidente que algunas de sus acciones están impulsadas por móviles políticos. Le quitaron la fachada al cibersitio de la mina de cobre Antamina en 2012, ubicada en Perú, después de que una tubería de ese consorcio multinacional se rompió, lo que derivó en que enfermaran decenas de personas. Fue idea de Rat, dijo Desh.

Y en febrero también le retiraron la fachada al cibersitio del partido gobernante de Venezuela en respaldo de los manifestantes antigubernamentales, al cual ingresaron a través de una de las puertas traseras que dicen dejar en las redes que penetran.

Desh indicó que también retienen el acceso a la fuerza aérea chilena, de la que este mes retiraron documentos delicados sobre compra de armas, los cuales colocaron en internet. Dijeron que se trataba de una represalia por el hecho de que Chile hubiera espiado a la fuerza aérea peruana en un caso que salió a la luz en 2009.

Los piratas cibernéticos, que tienen 30.000 seguidores en Twitter, dicen que ni se enriquecen ni hacen daño con sus proezas.

Pero muchos creen que LulzSecPeru sí hizo daño al ingresar a la red de la compañía que maneja el principal dominio de Perú. En octubre de 2012 colocó en internet una base de datos con miles de nombres, números telefónicos, direcciones de correo electrónico y contraseñas de sitios afectados, incluidos bancos, compañías de seguridad, el buscador Google… de todos los dominios que concluían con “.pe”.

Desh dijo que Rat lo hizo sin consultarlo.

“Ese día casi lo mato”, se quejó.

Erick Iriarte, un representante empresarial y destacado activista peruano de internet, dijo que dicha filtración ocurrió bastante antes de que esa información fuera colocada en línea, por lo que se le avisó a los clientes a tiempo para que modificaran sus contraseñas. Desh confirmó que el ingreso ilegal ocurrió seis semanas antes de que los datos fueran subidos a la red mundial.

En toda Latinoamérica, los trabajadores estatales suelen considerar que las redes operadas por los gobiernos son inseguras y poco confiables. Un sorprendente número de altos funcionarios utilizan servicios privados de correo electrónico en lugar de dichas redes.

79


Las autoridades peruanas consideran a LulzSecPeru como un grupo de piratas cibernéticos y dicen que sus miembros podrían enfrentar hasta ocho años de cárcel bajo el nuevo estatuto.

Pero primero deben ser capturados, y expertos independientes de seguridad dicen que la capacidad técnica de la policía cibernética peruana está muy por debajo de la de ellos. La primera acción de LulzSecPeru que lo arrojó a la fama fue penetrar la red de dicha policía a principios de 2012. El grupo pirata dice que aún tiene acceso por una puerta trasera oculta.

El comandante de la unidad, coronel Carlos Salvatierra, consideró que dichas críticas son infundadas. No quiso entrar en detalles sobre la investigación a LulzSecPeru, pero dijo que incluye “coordinación permanente” con otros gobiernos afectados y comenzó hace meses.

El apodo LulzSec fusiona “lulz”, que se deriva de LOL (siglas en inglés de riendo a carcajadas) y evoca en parte el deleite malicioso de los piratas cibernéticos que dejan expuestas las fallas de seguridad (“sec”). Y no hay mayor “lulz” para el par que burlarse de Roberto Puyo, jefe de tecnología del Consejo de Ministros de Perú y presidente del capítulo peruano de la Asociación de Seguridad Informática Internacional, el grupo más importante del país en ciberseguridad.

Puyo no respondió a llamadas telefónicas ni correos electrónicos en los que se le solicitaban una explicación sobre cómo fue violada su red.

Desh dijo que lograr ingresar le llevó un mes. Indicó que posteriormente canalizó una copia exacta de todo el tránsito a un servidor externo durante casi un mes, proceso en el que también capturó la contraseña del correo electrónico de Cornejo. Dijo también que la cuenta del ex primer ministro en Gmail estaba vinculada con la cuenta de correo oficial que Cornejo tenía, y que el intruso cibernético pudo penetrarla a través de un espejo de ella en la red.

Rat dijo que por ahora el grupo se mantiene alejado de la red del Consejo de Ministros, ya que por el momento tiene “tarros de miel”: trampas diseñadas para intentar capturarlos.

Ambos piratas dicen tener confianza en que hacen desaparecer sus huellas lo suficiente. Y señalan que no tientan al destino, por lo cual no atacan redes del gobierno estadounidense, ya que no quieren que el FBI los persiga.

“No me preocupo mucho”, afirmó Desh. “Aunque tampoco elimino la opción de que me atrapen”.

80


“Nadie es invencible”, agregó.

Nota de prensa

1 de cada 3 empresas peruanas ha sufrido ataques cibernéticos

Lima, 19 de marzo de 2014

Los ataques cibernéticos son un claro y real peligro que no se puede ignorar.

EY realizó una encuesta anual de seguridad de información a nivel mundial, la

cual indica que existe una latente preocupación por eventuales ataques

cibernéticos en las empresas, derivados del uso de nueva tecnología de

cómputo y comunicaciones. En el Perú, las empresas se ven claramente

afectadas, se estima que 1 de cada 3 empresas han sufrido algún ataque

cibernético durante el 2013.

Para vencer este tipo de ataques cibernéticos, EY recomienda que la alta

gerencia en las empresas se involucre y tome real conciencia del impacto de la

seguridad informática en las organizaciones, de la mano un presupuesto

adecuado para invertir en los elementos de control y seguridad de información

que le permitan salvaguardar la información de la empresa. Elementos tales

como un firewall para comunicaciones en el internet, programas antivirus y una

81


topología de red con servidores y software de identificación de intrusión son

una necesidad real.

Sólo el 10% de las empresas encuestadas presentaba un área de seguridad

con reporte directo a la gerencia general; 28% reportó contar con un gobierno

y gestión de seguridad de información; y un 14% mantiene una gestión de

seguridad mayormente técnica a nivel de operaciones.

La Gerencia General debe entender las amenazas a las que se encuentra

expuesta su organización por la tecnología de cómputo y comunicaciones que

usa en su negocio, para poder decidir la prioridad de las iniciativas y las

inversiones vinculadas a ellas. Los ataques cibernéticos son un claro y real

peligro que no se puede ignorar.

Un resultado que se mantiene igual en los últimos tres años es que más de la

mitad de los encuestados (65%) reporta que las restricciones presupuestales

siguen siendo el principal obstáculo para el desarrollo de esquemas de

seguridad de información en la empresa. 45% de los encuestados reporta que

planean orientar iniciativas para mitigar las vulnerabilidades relacionadas con el

uso de computación móvil y el efecto del uso de los equipos personales

(smartphones) en el entorno de la empresa. En general, la mayor amenaza

identificada por los encuestados es el phishing y el malware; 31% indica que se

ha incrementado el número de incidentes en los últimos 12 meses.

82


REFERENCIAS REFERENCIAS WEBGRAFICAS:

El portal de ISO 27001 en Español: http://www.iso27000.es/sgsi.html

http://seguridadinformaticaufps.wikispaces.com/Politicas,

+Planes+y+Procedimientos+de+Seguridad

http://www.ilustrados.com/tema/4924/Politicas-procedimientos-

seguridad-informacion.html, Autor: Victor E. Cappuccio, 2002

http://www.inteco.es/blogs/post/Seguridad/BlogSeguridad/

Articulo_y_comentarios/

Politicas_normas_procedimientos_de_seguridad_y_otros_documentos_

de_un_SGSI, Autor: Javier Cao Avellaneda. 2008

http://www.monografias.com/trabajos82/la-seguridad-informatica/la-

seguridad-informatica2.shtml#ixzz3Cwrd8ZlF

83

http://www.monografias.com/trabajos82/la-seguridad-informatica/la-seguridad-informatica2.shtml#ixzz3Cwrd8ZlF

http://www.monografias.com/trabajos82/la-seguridad-informatica/la-seguridad-informatica2.shtml#ixzz3Cwrd8ZlF

http://www.inteco.es/blogs/post/Seguridad/BlogSeguridad/Articulo_y_comentarios/Politicas_normas_procedimientos_de_seguridad_y_otros_documentos_de_un_SGSI



http://www.ilustrados.com/tema/4924/Politicas-procedimientos-seguridad-informacion.html

http://www.ilustrados.com/tema/4924/Politicas-procedimientos-seguridad-informacion.html

http://seguridadinformaticaufps.wikispaces.com/Politicas,+Planes+y+Procedimientos+de+Seguridad

http://seguridadinformaticaufps.wikispaces.com/Politicas,+Planes+y+Procedimientos+de+Seguridad

http://www.iso27000.es/sgsi.html

http://www.inteco.es/blogs/author/Seguridad/BlogSeguridad/Articulos_seleccionados/?authorID=3


http://www.slideshare.net/guest8d2f0a/seguridad-informatica-3261911?

src=related_normal&rel=2573451

http://www.sitiosargentina.com.ar/webmaster/cursos%20y

%20tutoriales/que_es_un_antivirus.htm

http://www.segu-info.com.ar/fisica/seguridadfisica.htm

http://www.segu-info.com.ar/articulos/2-porque-caen-password-clave.htm

http://www.slideshare.net/saintmanios/8-seguridad-informatica-

presentation-633705

http://www.seguridad.unam.mx/eventos/adminunam/

politicas_seguridad.pdf

BIBLIOGRAFÍAS:

Computación aplicada a contabilidad, administración y economía, tema:

seguridad informática, autor: Leonardo senamayans, Julio 2000.

Texto Introducción a la informática –George Beekman

ASPECTOS TÉCNICOS DE LA SEGURIDAD EN LA INFORMACIÓN

SANITARIA, autores:

- Jokin Sanz Ureta Jefe de la Sección de Sistemas Gobierno de Navarra

- Sebastián Hualde Tapia Director de Servicio de Organización y Planificación

de la Información Gobierno de Navarra

84

http://www.slideshare.net/guest8d2f0a/seguridad-informatica-3261911?src=related_normal&rel=2573451

http://www.slideshare.net/guest8d2f0a/seguridad-informatica-3261911?src=related_normal&rel=2573451

Documents

Seguridad Informatica-grupo 3