INSTITUTO POLITÉCNICO NACIONAL T E S I S MODELO DE SEGURIDAD PARA LA MEDICIÓN DE VULNERABILIDADES Y REDUCCIÓN DE RIESGOS EN REDES DE DATOS

Transcripción

1 INSTITUTO POLITÉCNICO NACIONAL UNIDAD PROFESIONAL INTERDISCIPLINARIA DE INGENIERÍA Y CIENCIAS SOCIALES Y ADMINISTRATIVAS MODELO DE SEGURIDAD PARA LA MEDICIÓN DE VULNERABILIDADES Y REDUCCIÓN DE RIESGOS EN REDES DE DATOS T E S I S QUE PARA OBTENER EL TÍTULO DE I NG E N I E RO E N I N F O R M A T I C A P R E S E N T A N E R I K I V A N C R U Z M E N D O Z A DIANA VANESSA RODRIGUEZ DUQUE MÉXICO D.F. NOVIEMBRE 2010

2 INDICE Resumen... Introducción... i iii Capítulo 1. Marco Metodológico 1.1 Planteamiento del Problema Objetivos Objetivo General Objetivos Específicos Alcance Justificación del Estudio... 4 Capítulo 2. Introducción a la Seguridad en Redes 2.1 Introducción Fundamentos de Seguridad Definición de Seguridad La Importancia de la Seguridad Historia de las Redes de Datos Definición de Redes de Datos Tipos de Redes de Datos Definición de Seguridad en Redes Definición de Vulnerabilidades Vulnerabilidades en Redes de Datos Tipos de Vulnerabilidades en las Redes de Datos Métodos para la Detección de Vulnerabilidades Definición de Amenaza Clasificación de Amenazas Definición de Ataque Definición de un Ataque Informático Definición de Riesgos... 41

3 2.12 Definición de un Análisis de Riesgos Seguridad en Redes TCP/IP - OSI Mecanismos de Seguridad Mecanismos de Seguridad Generalizados Mecanismos de Seguridad Específicos Cifrado Firma Electrónica Control de Acceso Integridad de Datos Intercambio de la Autentificación Hoyos de la Seguridad Capítulo 3. Problemática General de la Seguridad en Redes 3.1 Introducción Problemas de Seguridad en Redes de Datos Estadísticas en el 2009 de Vulnerabilidades, Amenazas y Riesgos en las Redes de Datos Vulnerabilidades, Amenazas y Riesgos en las Redes de Datos Hardware. Dispositivos Físicos Routers, Hubs y Switchs Servidores y Estaciones de Trabajo Cableado En el Software Sistemas Operativos En los Protocolos de Comunicación y Servicios Protocolos Puertos Escaneo de Puertos Servicios Métodos de Ataque a Equipos y Redes Sniffing Barrido de Puertos Bug de Fragmentación de Paquetes IP Explotar bugs del software Caballo de Troya Ataques dirigidos por Datos... 85

4 3.7.7 Denegaciòn de Servicios Ingeniería Social Acceso Físico Adivinación de Passwords Spoofing Hijacking Modificación de los protocolos de routing Bombing y Spamming Ataques para la obtención de Información sobre posibles objetivos de otros ataques Ataques para la obtención de Información debidos a una mala administración Ataques para la obtención de Información debido a vulnerabilidades de software Capítulo 4. Legislación Informática, Aplicación de Mejores Prácticas y Tecnologías en las Redes de Datos 4.1 Introducción Legislación Informática Delitos Informáticos Delitos Informáticos definidos por la ONU Legislación Internacional Legislación Nacional Mejores Prácticas COBIT ISACA ISO ISO/IEC ITIL Orange Book OSSTMM Protección en las Redes de Datos VPN y Conectividad Segura Descripción de VPN Tipos de VPN Protocolos de una VPN Firewalls y Defensa del Perímetro de Seguridad Firewalls Tipos de Firewalls ii

5 Restricciones en el Firewalls Beneficios de un Firewalls Limitaciones de un Firewalls Estrategia de un Firewall Defensa del Perímetro de Seguridad Detección de IDS Gestión de IDS e IPS Autenticación Métodos de Autenticación Criptología Algunos conceptos importantes de Criptología Test de Penetración, Pruebas de Vulnerabilidad Políticas y Gestión de la Seguridad Descripción de Algunas Tecnologías de Control y Seguimiento de Accesos Tecnologías que Chequean la Integridad del Sistema Tecnologías para la Detección de Vulnerabilidades en la Red Capítulo 5. Modelo de Seguridad para determinar los Riesgos, Amenazas y Vulnerabilidades de las Redes de Datos 5.1 Introducción Panorama General del Modelo de Seguridad para la Medición de Vulnerabilidades y Reducción de los Riesgos en las Redes de Datos Diagrama de Flujo del Modelo de Seguridad para la Medición de Vulnerabilidades y reducción de Riesgos en las Redes de Datos Obtención de la Información Información basada en la Empresa Cuestionario al Administrador de Red Seguridad de la Infraestructura Defensa del Perímetro Autenticación Administración y Control Aplicaciones Operaciones Entorno Directiva de Seguridad iii

6 Gestión de Actualizaciones y Revisiones Copias de Seguridad y Recuperación Personal Requisitos y Evaluaciones Directiva y Procedimientos Formación y Conocimiento Evaluación del Cuestionario Preguntas a Usuarios Evaluación de Preguntas a Usuario Análisis de la Información Identificación de los Activos Identificación de los Activos (Factores de Riesgo) Identificación de Vulnerabilidades Identificación de los Servicios activos Pruebas de Penetración Búsqueda de Vulnerabilidades Pruebas de Penetración para los Ataques a Nivel de Red Análisis de Riesgos Cálculo de Niveles de Vulnerabilidad Niveles de Vulnerabilidad Análisis de la Importancia Valores Máximos, Mínimos y Reales Porcentajes de Riesgos Cubiertos Seguridad en Redes de Datos en las Empresas Capítulo 6. Caso Práctico: Implementación del Modelo de Riesgos, Amenazas y Vulnerabilidades en la Secretaria de Transportes y Vialidad (SETRAVI) 6.1 Introducción Secretaria de Transportes y Vialidad (SETRAVI) Antecedentes Generales Organigrama de la Empresa General Organigrama del área de Informática Normatividad de SETRAVI Situación Actual Definición del Proyecto iv

7 6.8 Listado y Determinación de los Activos de la Organización Identificación de Factores de Riesgo Cuantificación de los Resultados en la Identificación de Vulnerabilidades Conclusiones Bibliografía Glosario Anexos v

8 INDICE DE FIGURAS Figura No.1 Ejemplificación de las Redes de Datos Figura No. 2 Topología de Bus Figura No.3 Topología de Anillo Figura No.4 Topología de Estrella Figura No.5 Topología de Árbol Figura No.6 Topología de Malla Completa Figura No.7 Metodología de un Atacante Figura No.8 Triangulo de Intrusión Figura No.9 Relación de Controles, Ataques, Amenazas, Impactos y Vulnerabilidades Figura No.10 Esquema de Auditoria de Seguridad Figura No.11 Comparación del Modelo OSI con el Modelo TCP/IP Figura No.12 Gráfica de Incidentes Anuales Figura No.13 Gráfica de Tipos de Incidentes en el Figura No.14 Gráfica de Tipos de Incidentes en el Figura No.15 Gráfica de Tipos de Incidentes en el Figura No.16 Gráfica de Tipos de Incidentes en el Figura No.17 Gráfica de Tipos de Incidentes en el Figura No.18 Gráfica de Vulnerabilidades emitidas anualmente del 2005 al Figura No. 19 Grafica de Vulnerabilidades Mensuales por Nivel de Riesgo en el Figura No.20 Gráfica de Vulnerabilidades Mensuales por Nivel de Riesgo en el Figura No.21 Gráfica de Vulnerabilidades Semanales por Nivel de Riesgo en el Figura No.22 Legislación Informática en México Figura No.23 Relación entre los Elementos de Seguridad Figura No.24 Cálculo del Valor de Riesgo Figura No.25 Ejemplificación del Volumen de Tráfico de una Empresa Figura No.26 Soluciones de la Protección de Redes de Datos Figura No.27 Representación del Diseño de una VPN Figura No.28 Funcionamiento de una VPN Figura No.29 Ejemplificación del Perímetro de Seguridad

9 Figura No.30 Diagrama de Flujo del Modelo de Seguridad para la Medición de Vulnerabilidades y Reducción para las Redes de Datos Figura No.31 Clasificación de los Activos Figura No. 32 Proceso de Identificación de Vulnerabilidades Figura No. 33 Fase de Prevención de las Vulnerabilidades Figura No. 34 Fase de Identificación de las Vulnerabilidades Figura No. 35 Fase de Corrección de Vulnerabilidades Figura No. 36 Prueba efectuada en Nmap para los puertos abiertos Figura No. 37 Organigrama de la Secretaria de Transportes y Vialidad Figura No. 38 Organigrama del Área Informática Figura No. 40 Diagrama de la Infraestructura de la Red de Setravi

10 INDICE DE TABLAS Tabla No.1 Historia de las Redes de Datos Tabla No.2 Tipificación de las Redes de Datos Tabla No.3 Amenazas Lógicas Tabla No.4 Amenazas Involuntarias Tabla No.5 Amenazas Físicas y Naturales Tabla No.6 Amenazas de Hardware Tabla No.7 Tipificación de Ataques Tabla No.8 Descripción de las Capas del Modelo OSI Tabla No.9 Incidencias Anuales de Seguridad en Redes Tabla No.10 Incidencias por Trimestre en el Tabla No.11 Porcentaje de Incidencias Ocurridas en el Tabla No.12 Porcentaje de Incidencias de Acuerdo al Sistema Operativo en el Tabla No.13 Incidencias por Trimestre en el Tabla No.14 Porcentaje de Incidencias Ocurridas en el Tabla No.15 Porcentaje de Incidencias de acuerdo al Sistemas Operativo en el Tabla No.16 Incidencias por Trimestre en el Tabla No.17 Porcentaje de Incidencias Ocurridas en el Tabla No.18 Porcentaje de Incidencias de acuerdo al Sistema Operativo en el Tabla No.19 Incidencias por Trimestre en el Tabla No.20 Porcentaje de Incidencias Ocurridas en el Tabla No.21 Porcentaje de Incidencias Ocurridas en el Tabla No.22 Porcentaje de Incidencias de acuerdo al Sistema Operativo en el Tabla No.23 Incidencias por Trimestre en el Tabla No.24 Porcentaje de Incidencias Ocurridas en el Tabla No.25 Porcentaje de Incidencias de acuerdo al Sistema Operativo en el Tabla No.26 Descripción de Puertos de Red Tabla No.27 Legislación Nacional Tabla No.28 Área de Soporte Técnico Tabla No.29 Área de Entrega de Servicio Tabla No.30 Plantilla de Control de Puerto de Origen

11 Tabla No.31 Plantilla de Ataque Telefónico usando Métodos de Ingeniería Social Tabla No.32 Tipos de Protocolos de una VPN Tabla No.33 Características y Fortalezas de los IDS Tabla No.34 Debilidades e Inconvenientes de los IDS Tabla No.35 Formatos Escala de Evaluación de Pregunta Tipo Tabla No.36 Evaluación Pregunta Tabla No.37 Formato Escala de Evaluación Pregunta Tabla No.38 Evaluación Pregunta Tabla No.39 Evaluación Pregunta Tabla No.40 Descuento de Puntaje en la Evaluación Tabla No.41 Clasificación de los Activos Tabla No.42 Factores de Riesgo Tabla No.43 Pruebas a Realizar para la Identificación de Activos Tabla No.44 Pruebas a Realizar para la Obtención de Ataques a Nivel de Red Tabla No.45 Pruebas a Realizar para la Selección de Herramientas Tabla No.46 Análisis de Riesgos

12 Este documento muestra la elaboración de una metodología que permite realizar un análisis para medir las vulnerabilidades y reducir los riesgos de las redes de datos en las organizaciones misma que consta de seis capítulos: En el primer capítulo se dan a conocer los fundamentos de la tesis, como lo son: la descripción, problemática, objetivos, el por qué y la importancia de realizar dicha Tesis, generando un modelo de seguridad para la medición de vulnerabilidades y reducción de riesgos en las Redes de Datos y así es como se da paso al capítulo dos. En el capítulo dos, se realiza una breve descripción de los Fundamentos en Seguridad Informática y el enfoque que ésta tiene en las Redes de Datos, dando a conocer los conceptos generales, antecedentes y las definiciones más características para cada suceso. En el capitulo tres, se muestra un panorama general de la problemática que hoy por hoy existe en las Redes de Datos dentro de las Organizaciones, haciendo referencia a los problemas más comunes como por ejemplo las vulnerabilidades, amenazas y riesgos que afecten a la red de datos así como también se mencionará como protegerlas y de ahí que nos resultará de gran importancia su estudio. En el capitulo cuatro, se aplican las Mejores Practicas marcando solo los elementos fundamentales que concierne para el desarrollo del Modelo de Medición de Vulnerabilidades y Reducción de Riesgos en las Redes de Datos así como también se hace relevancia en la Legislación Informática existente Internacional y Nacionalmente dando pie a Tecnologías utilizadas en el mercado para la detección de vulnerabilidades, riesgos y amenazas de una red de datos. i

13 En el capitulo cinco, se abordan las técnicas de un análisis de riesgos que nos ayudaran a la detección y medición de vulnerabilidades así como a la reducción de los riesgos en una Red de Datos mayormente utilizadas por las consultorías que ofrecen este servicio como aseguramiento de la calidad de la red, en donde se desarrollará el análisis de riesgos para observar el comportamiento de los efectos que produce esta aplicación en cuanto a seguridad física, lógica y de comunicaciones. El capitulo seis, abarca todos los conceptos presentados hasta este punto, con el objeto de detectar la medición de vulnerabilidades y reducción de los riesgos existentes en el área de redes de datos para proteger la información de los intrusos y obtener una mejor productividad en la Secretaria de Transportes y Vialidad (SETRAVI) así como también efectuar ahí nuestro análisis de riesgos con la finalidad de obtener nuestro modelo anteriormente mencionado y en consecuencia mostrar un panorama amplio de la seguridad con la que cuenta una red de datos. ii

14 En nuestros días, teniendo en cuenta todos los aspectos que involucran a la seguridad en redes de datos autenticación, autorización, disponibilidad, confidencialidad, integridad, escalabilidad y seguridad de sus equipos, servicios y datos, es fácil poder llegar a la conclusión de la respuesta a la pregunta: Es tu red de datos 100% segura?, podemos concluir en un rotundo no. Hoy en día, se pueden y deben tomar muchas medidas para crear diversas estrategias seguras hasta cierto nivel, ya que como se sabe, no existe la seguridad al 100%, solo una aproximación; y lo que se puede hacer, es minimizar el impacto que tendrán las fallas de seguridad en el campo de ataque de la red de datos. Es por ello que nuestro objetivo dentro de la presente tesis, es crear un modelo de seguridad para medir las vulnerabilidades y reducir los riesgos de las redes de datos en las organizaciones, para facilitar al administrador de red conocer dichas vulnerabilidades y riesgos; en donde a su vez se pueda minimizarlos y esto con la finalidad de proteger la información así como también que se obtengan los datos necesarios para promover la planeación, el diseño y la implantación de dicho modelo de seguridad en la misma organización, y así establecer una cultura de seguridad en la organización. Gracias a las tecnologías de hoy en día, se logran importantes mejoras, pues se automatizan los procesos operativos, se suministra una plataforma de información necesaria para la toma de decisiones y, lo más importante, su implantación logra ventajas competitivas o bien reducir la ventaja de los rivales. La información que se maneja es vital para las organizaciones, se debe mantener de acuerdo a lo deseado por la organización. Siendo hoy en día la Tecnología de la Información una herramienta muy importante para el desarrollo, se toma en cuenta la siguiente pregunta: - Se encuentran estas completamente seguras?, lamentablemente de acuerdo a la realidad no existen sistemas completamente seguros, es necesario buscar todos los posibles aspectos de vulnerabilidad. Es imperante crear conciencia a los usuarios de la necesidad de la seguridad, puesto que la mayor cantidad de ataques se produce por usuarios internos dentro de las organizaciones, ya sea cociente o inconscientemente. Los empleados deben ser entrenados y/o capacitados en políticas de seguridad a fin de internalizar las implicaciones que esto representa. iii

15 Adentrando un poco más en el tema de la seguridad en nuestro país, se sabe de acuerdo a encuestas aplicadas en diversas partes del país que dos tercios de las organizaciones que cuentan con políticas de seguridad sienten estar en condiciones de detectar o responder efectivamente ante el ataque de intrusos. En tanto, el 68% de los ejecutivos afirman que los riesgos a la seguridad de datos se han incrementado en los últimos años, y el 29% dice haber sufrido algún tipo de ataque. Sin embargo, menos del 35% aproximadamente de los ejecutivos considera que la seguridad es una cuestión de alta prioridad. 1 En México se espera que el mercado de las Tecnologías de la Información siga creciendo y es por ello que es necesaria la idea de difundir una cultura creando y aplicando nuevos sistemas y metodologías de seguridad, sobre todo crear conciencia a los individuos, ya que las Tecnologías de la Información son solo una herramienta al servicio del hombre, y es responsabilidad de este velar por un buen desempeño. Es por ello que aportaremos a crear una cultura y concientización en las organizaciones de la importancia de la seguridad mediante esta Tesis, tomando en cuenta que un medio vulnerable y riesgoso son las Redes de Datos que se presentan hoy en día y que por medio de ellas fluye la información. De alguna forma es necesario comenzar por enfocarse a las vulnerabilidades de la infraestructura, las cuales al ser explotadas representan riesgos y estas a su vez pérdidas tanto monetarias y/o de confianza hacia el mercado en el cual se desempeñan; sin embargo, se reduce y adecua una vez que se tiene determinado el objeto de ataque, apegándose a las Mejores Prácticas. Para lograr efectuar una revisión de seguridad en las redes de datos que abarque aspectos generales de autenticación, autorización, disponibilidad, confidencialidad, integridad, escalabilidad y seguridad de sus equipos, servicios y datos, es tener un grado de confianza en la aplicación laboral y para ello será necesario presentar como resultado del análisis, un modelo de seguridad para medir las vulnerabilidades y reducir los riesgos de las redes de datos en las organizaciones, que cubran un alto porcentaje de técnicas empleadas por los posibles intrusos. 1 JFS JOINT FUTURE SYSTEMS (2008). Estudio de Percepción SEGURIDAD INFORMÁTICA MÉXICO 2008 Ver Glosario iv

16 Para minimizar el campo de ataque de una red de datos, se presenta esta Tesis como una guía para su realización, la cual se compone de seis capítulos, en donde se abordará un análisis de riesgos para la identificación y medición de las vulnerabilidades así como también reducir los riesgos de las redes de datos, técnicas de ataques, además de un caso práctico, con el que se llevarán a cabo las técnicas estudiadas y los conceptos aquí presentados. En el Capítulo I, Se comienza con una descripción de lo que fundamentalmente aborda la Tesis como lo son: la descripción, problemática, objetivos el por qué y la importancia de realizar dicha Tesis generando un modelo de seguridad para la medición de vulnerabilidades y reducción de riesgos en las Redes de Datos en las Organizaciones. En el Capítulo II, Se realiza una breve descripción de los Fundamentos en Seguridad Informática y el enfoque que ésta tiene en las Redes de Datos, dando a conocer los conceptos generales, antecedentes y las definiciones más características para cada suceso. En el Capítulo III, Se muestra un panorama general de la problemática que hoy por hoy existen en las Redes de Datos dentro de las Organizaciones, haciendo referencia a los problemas más comunes como por ejemplo las vulnerabilidades, amenazas y riesgos que afecten a la red de datos así como también se mencionará como protegerlas y de ahí que nos resultará de gran importancia su estudio. En el Capítulo IV, Se aplican las Mejores Practicas marcando solo los elementos fundamentales que concierne para el desarrollo del Modelo de Medición de Vulnerabilidades y Reducción de Riesgos en las Redes de Datos así como también se hace relevancia en la Legislación Informática existente Internacional y Nacionalmente dando pie a Tecnologías utilizadas en el mercado para la detección de vulnerabilidades, riesgos y amenazas de una red de datos. En el Capitulo V, Se abordan las técnicas de un análisis de riesgos que ayudan a la detección y medición de vulnerabilidades así como a la reducción de los riesgos en una Red de Datos mayormente utilizadas por las consultorías que ofrecen este servicio como aseguramiento de la calidad de la red, en donde se desarrollará el análisis de riesgos para observar el comportamiento de los efectos que produce esta aplicación en cuanto a seguridad física, lógica y de comunicaciones. Ver Glosario v

17 En el Capítulo VI, Abarca todos los conceptos presentados hasta este punto, con el objeto de detectar la medición de vulnerabilidades y reducción de los riesgos existentes en el área de redes de datos para proteger la información de los intrusos y obtener una mejor productividad en la Secretaria de Transportes y Vialidad (SETRAVI) así como también efectuar ahí nuestro análisis de riesgos con la finalidad de obtener nuestro modelo anteriormente mencionado y en consecuencia mostrar un panorama amplio de la seguridad con la que cuenta una red de datos. Así mismo, llevar a cabo un ataque controlado sobre una red de datos, observando cómo se puede explotar de manera satisfactoria una vulnerabilidad detectada anteriormente, como resultado del análisis de riesgos se presentarán Check - list, cuestionarios, gráficas de seguridad basado en el análisis de riesgos, para que le sea de utilidad al administrador de red al emitir recomendaciones sobre la red de datos evaluada. De esta forma se emplearon 6 capítulos para el desarrollo de esta tesis en donde se estructuraron de forma parcial desde el concepto de la seguridad en redes de datos hasta la aplicación teórico práctica del modelo de seguridad para la medición de vulnerabilidades y reducción de riesgos en redes de datos, dicho modelo tendrá aplicación en la Secretaria de Transportes y Vialidad del Distrito Federal a fin de colaborar con la institución y poder llevar acabo nuestro caso práctico vi

18 Ser lo que soy, no es nada sin la Seguridad William Shakespeare El amplio desarrollo de las Nuevas Tecnologías Informáticas está ofreciendo un nuevo campo de acción a conductas antisociales y delictivas manifestadas en formas antes imposibles de imaginar, ofreciendo la posibilidad de cometer delitos tradicionales en formas no tradicionales. El objetivo de este capítulo es dar una breve descripción de la problemática que se planteara en los siguientes capítulos acerca de la Seguridad en Redes para las Organizaciones, en donde se comienza con la descripción, problemática, objetivos el por qué y la importancia, de realizar dicha Tesis generando un Modelo de Seguridad para la Medición de Vulnerabilidades y Reducción de Riesgos en las Redes de Datos en las Organizaciones.

19 1. MARCO METODOLOGICO 1.1 Planteamiento del Problema En la actualidad, las empresas son cada vez más dependientes de sus redes informáticas y un problema que las afecte, por mínimo que sea, puede llegar a comprometer la continuidad de las operaciones que se realicen en dicha organización. Hoy por hoy, Internet representa una gran fuente de información donde existe mucha más cantidad de referencias sobre como ingresar a sistemas que sobre cómo protegerlos. La seguridad de la red comprende tanto la protección física de los dispositivos como también la integridad, confidencialidad y autenticidad de las transmisiones de datos circulen por ésta. La falta de medidas de seguridad en las redes es un problema que está en crecimiento. Cada vez es mayor el número de atacantes y cada vez están más organizados, por lo que van adquiriendo día a día habilidades más especializadas que les permiten obtener mayores beneficios. Tampoco deben subestimarse las fallas de seguridad provenientes del interior mismo de dicha de la organización. La propia complejidad de la red es una dificultad para la detección y corrección de los múltiples y variados problemas de seguridad que van apareciendo. En medio de esta variedad, han ido aumentando las acciones poco respetuosas de la privacidad y de la propiedad de recursos y sistemas. Hackers, crackers*, entre otros, han hecho aparición en el vocabulario ordinario de los usuarios y de los administradores de las redes. Además de las técnicas y herramientas criptográficas*, es importante recalcar que un componente muy importante para la protección de los sistemas consiste en la atención y vigilancia continua y sistemática por parte de los responsables de la red como lo es el administrador de la misma y que hoy por hoy no se preocupa mucho de la seguridad de dicha red, los riesgos y las vulnerabilidades que puedan existir en la misma y cuando llega a tener problemas; el tiempo que emplea es mucho mayor al que podría demorar si existiera un modelo, política o procedimiento para el uso correcto de los recursos informáticos. Ver Glosario 1

20 Otra de las grandes problemáticas de los administradores de red es el hecho de implementar parches a esto hacemos referencia con estar instalando programas los cuales disminuyen el rendimiento de los equipos de computo en lugar de atacar a fondo la debilidad de la red. Es responsabilidad del administrador de red estar constantemente en la búsqueda de las vulnerabilidades y riesgos que puedan existir en la red de datos, aunque en la mayoría de los casos no se sabe por dónde comenzar, que investigar o que preguntar. Sin la búsqueda de dichas vulnerabilidades y riesgos, las empresas crean una idea errada de su seguridad, piensan que la seguridad de su información es muy poco vulnerable, ya sea porque nunca se han visto afectados o tal vez están sin saberlo. A la hora de plantearse en que elementos del sistema se deben ubicar los servicios de seguridad podrían distinguirse dos tendencias principales como lo son: La protección de los sistemas de transferencia o transporte y Las aplicaciones seguras de extremo a extremo En donde la protección de los sistemas de transferencia o transporte. En este caso, el administrador de un servicio asume la responsabilidad de garantizar la transferencia segura al usuario final de la información de la forma más transparente posible. Y un ejemplo de las aplicaciones seguras de extremo a extremo podemos ejemplificar con el correo electrónico, que consistiría en construir un mensaje en el cual el contenido ha sido asegurado mediante un procedimiento de encapsulado previo al envió. De esta forma, el mensaje puede atravesar sistemas heterogéneos y poco fiables sin por ello perder la validez de los servicios de seguridad provistos. Aunque el acto de asegurar el mensaje cae bajo la responsabilidad del usuario final, es razonable pensar que dicho usuario deberá usar una herramienta amigable proporcionada por el responsable de seguridad de su organización. En esta misma operación, puede usarse para abordar el problema de la seguridad en otras aplicaciones tales como la videoconferencia, acceso a bases de datos, etc. 2

21 En ambos casos, un problema de capital importancia es la gestión de password. Este problema es inherente al uso de la criptografía y debe estar resuelto antes de que el usuario esté en condiciones de enviar un solo bit* seguro. Es por ello, que es muy importante abordar el tema de seguridad en las redes ya que un fallo en dichas redes puede ser muy costoso en lo relativo a productividad, eficiencia, perdida de datos e información valiosa y para proteger tal información de dichas organizaciones es recomendable el uso de modelos y/o prototipos que ayuden a su medición para la detección de vulnerabilidades y riesgos que puedan existir en dicha red y por tanto poder minimizar los mismos. 1.2 Objetivos Objetivo General Crear un modelo de seguridad para medir las vulnerabilidades y reducir los riesgos de las redes de datos en las organizaciones, para facilitar al administrador de red conocer dichas vulnerabilidades y riesgos en donde a su vez pueda minimizarlos para la protección de la información así como también que se obtengan los datos necesarios para promover la planeación, el diseño y la implantación de dicho modelo de seguridad en la misma organización con el fin de establecer una cultura de seguridad en la institución Objetivos Específicos Conocer los problemas de inseguridad, los ataques y amenazas a las redes empresariales conectadas o en uso a través de redes de datos e Internet. Conocer soluciones y tecnologías para garantizar un adecuado nivel de seguridad integral en la transmisión de datos, donde la seguridad es un componente básico. Investigar y aplicar soluciones y tecnologías fundamentales y realizar las operaciones básicas de configuración y medición de vulnerabilidades de una red. Diseñar guías y herramientas para medir las vulnerabilidades y riesgos de la red de las organizaciones. Ver Glosario Ver Glosario 3

22 1.3 Alcance El proyecto estará enfocado a la medición de vulnerabilidades y reducción de los riesgos en las redes de datos empresariales, tratando la seguridad de la red de la manera más sencilla posible, en donde mediante un análisis de riesgos nos ayude a determinar cuáles son las vulnerabilidades más comunes en las redes de datos aplicado en: los procesos y directivas que adopta la institución. No se profundizara en equipo y software existente, por lo cual los excluimos del estudio. 1.4 Justificación del Estudio La falta de medidas de seguridad en las redes es un problema que está en crecimiento. Cada vez es mayor el número de atacantes y cada vez están más organizados, por lo que van adquiriendo día a día habilidades más especializadas que les permiten obtener mayores beneficios. Tampoco deben subestimarse las fallas de seguridad provenientes del interior mismo de dicha de la organización. Es de suma importancia diseñar un modelo de seguridad para la medición de vulnerabilidades y riesgos para las redes de datos ya que hoy por hoy se está convirtiendo en una necesidad para los administradores de red debido a que no se preocupaban de la seguridad de la misma y cuando les ocasiona problemas lo que hacen es implantar programas conocidos también como parches lo que provoca que el rendimiento de los equipos de computo disminuya. Hoy por hoy, es de suma importancia conocer los problemas de inseguridad y los ataques, las amenazas a las redes en las organizaciones ya que sin la búsqueda de vulnerabilidades en una red las empresas crean una idea errada de su seguridad y es muy importante destacar que algunas de las debilidades que se generan en una red frecuentemente y que a veces no son atendidas es la falta de conocimientos por parte del usuario, la transmisión por medio de comunicaciones que están protegidos, una mala elección de las contraseñas para servidores y equipos de computo para los usuarios, la falta de funcionalidad de la seguridad así como también una tecnología no aprobada; todo ello se podría minimizar si existiera un modelo de seguridad que ayudara a medir los riesgos y vulnerabilidades que existieran en la red. La propia complejidad de la red es una dificultad para la detección y corrección de los múltiples y variados problemas de seguridad que van apareciendo. En medio de esta variedad, han ido aumentando las acciones poco respetuosas de la privacidad y de la propiedad de recursos y sistemas. Hackers, crackers, entre otros, han hecho aparición en el vocabulario ordinario de los usuarios y de los administradores de las redes, es por ello que es importante la aplicación de soluciones tecnológicas que ayuden a la medición de vulnerabilidades en las redes de datos. 4

23 Hay que tomar en cuenta que hay que diseñar guías que ayuden a medir los riesgos y vulnerabilidades de una red así como tomar de apoyo las existentes. Hoy por hoy además de las técnicas y herramientas criptográficas, es importante recalcar que un componente muy importante para la protección de los sistemas la cual consiste en la atención y vigilancia continua y sistemática. Por parte de los responsables de la red como lo es el administrador de la misma y que hoy por hoy no se preocupa mucho de la seguridad de dicha red, los riesgos y las vulnerabilidades que puedan existir en la misma y cuando llega a tener problemas, el tiempo que emplea es mucho mayor al que podría demorar si existiera un modelo, política o procedimiento para el uso correcto de los recursos informáticos. La seguridad es tan importante en las empresas ya que el fallo en la misma puede ser muy costoso en lo relativo a productividad, eficiencia, perdida de datos e información valiosa, su posterior reparación y la inevitable perdida de la confianza en los usuarios y clientes. En el mundo actual, donde las Redes y las Telecomunicaciones juegan un papel fundamental en la transmisión de información y el desarrollo de las funciones y transacciones en el mercado, la Seguridad en Redes Empresariales y entre las mismas es una necesidad indispensable. Es por ello que será un aporte por parte de la Carrera de Ingeniería en Informática en donde llevaremos a cabo políticas y procedimientos que nos conlleven a generar un plan de seguridad que se adapte al modelo de seguridad para la medición de vulnerabilidades y riesgos en las empresas y consideramos que es de suma importancia el desarrollo de este análisis ya que permitirá a las empresas minimizar los riesgos y vulnerabilidades que puedan surgir en la red de datos. Se realiza una profunda investigación de las vulnerabilidades y riesgos más comunes en las organizaciones para la formulación del modelo de seguridad partiendo de un desarrollo informático y con la información obtenida por cuestionarios, y otras herramientas que midan las vulnerabilidades y disminuyan los riesgos, para la mejor toma de decisiones. 5

24 El arte de la guerra nos enseña a confiar no en la posibilidad de que el enemigo no venga, sino en nuestra propia disponibilidad para recibirlo; no en la oportunidad de que no ataque, sino en el hecho de que hemos logrado que nuestra posición sea inexpugnable. El arte de la Guerra, SUN TZU El objetivo de este capítulo es describir un panorama de los Fundamentos de Seguridad en Redes de Datos, incluyendo los diversos factores que afectan a la misma y al usuario como por ejemplo cada uno de los personajes que pueden ser potenciales atacantes de nuestro sistema: El mundo bajo y el personal perteneciente a la organización. Será difícil mantener una posición objetiva de la situación global en cuanto a los hackers y las fuerzas de seguridad, ya que siempre hemos visto marcado el camino de conocimiento por la curiosidad: principal ingrediente (como veremos) del hacker.

25 2.1 INTRODUCCION Las necesidades de seguridad de la información en una organización han sufrido cambios fundamentales en las últimas dos décadas. Antes de la expansión del uso de equipamiento de procesamiento de datos, la seguridad de la información que una organización consideraba valiosa se proporcionaba, por un lado, por medios físicos, como por ejemplo el uso de armarios con cierre de seguridad para almacenar documentos sumamente confidenciales, por otro lado, por medios administrativos, como los procedimientos de protección de datos del personal que se usan durante el proceso de contratación. Con la introducción de la computadora, se hizo evidente la necesidad de disponer de herramientas automatizadas para la protección de archivos y otros tipos de información almacenada en la computadora. Esto ocurre especialmente en el caso de sistemas compartidos como, por ejemplo, un sistema de tiempo compartido; y la necesidad se acentúa en sistemas a los que se puede acceder por medio de una red telefónica pública, una red de datos o Internet. El nombre genérico que se da al grupo de herramientas diseñadas para proteger los datos y evitar la intrusión de los hackers es el de seguridad informática. Otro de los cambios que mas afecto a la seguridad fue la introducción de sistemas distribuidos y el uso de redes y herramientas de comunicación para transportar datos entre el usuario y el computador, y entre dos computadoras. Las medidas de la seguridad en la red son necesarias para proteger los datos durante la transmisión. No existen unas fronteras bien delimitadas entre estas dos formas de seguridad. Por ejemplo, uno de los tipos de ataque a los sistemas de información a los que más publicidad se ha dado es el virus informático. Un virus se puede introducir físicamente en un sistema por medio de un disquete o puede que llegara por una Internet. En cualquier caso, una vez que el virus reside en un sistema informático, se necesitan las herramientas internas de seguridad para la computadora y así poder detectarlo, eliminarlo y restablecer el sistema. Ver Glosario 7

26 En esta parte nos centraremos más en atacar las vulnerabilidades provenientes por la Internet que pueden afectar los sistemas de las empresas, la seguridad consiste en las medidas para prevenir, impedir, detectar y corregir las violaciones de la seguridad que se producen durante la transmisión de la información. Esta es una afirmación muy general que abarca una gran cantidad de posibilidades. 2.2 Fundamentos de Seguridad Hoy por hoy la seguridad, desde el punto de vista técnico, está en manos de los políticos, a quienes les toca decidir sobre su importancia, los delitos en que se puede incurrir, y el respectivo castigo, si correspondiera. Este proceso ha conseguido importantes logros en las áreas de prevención del crimen, terrorismo y riesgo más que en el pensamiento general sobre seguridad, en cambio desde el punto de vista técnico, la seguridad está en manos de la dirección de las organizaciones y, en la última instancia, en uno de nosotros y en nuestro grado de concientización respecto a la importancia de la información y el conocimiento en este nuevo milenio. Es en este proceso en donde se aprecia que no se ha añadido ningún nuevo concepto a los ya conocidos en la antigüedad; los actuales solo son perfeccionamientos de aquellos: llaves, cerraduras, cajas fuertes, puertas blindadas, trampas, vigilancia, etc. Los conceptos de seguridad son borrosos o su definición se maneja con cierto grado de incertidumbre teniendo distinto significado para distintas personas. Esto tiene la peligrosa consecuencia de que la función de seguridad puede ser frecuentemente etiquetada como inadecuada o negligente, haciendo imposible a los responsables justificar sus técnicas ante reclamos basados en ambigüedades de conceptos y definiciones. Al definir el objetivo de la Seguridad Fayol dice. salvaguardar propiedades y personas contra el robo, fuego, inundación, contrarrestar huelgas y felonías, y de forma amplia todos los disturbios sociales que puedan poner en peligro el progreso e incluso la vida del negocio. Es, generalmente hablando, todas la medidas de conferir la paz y tranquilidad (Peace of Mind) al personal. 2 Las medidas de seguridad a las que se refiere Fayol, solo se restringían a los exclusivamente físicos de la instalación, ya que el mayor activo era justamente ese: los equipos, ni siquiera el empleado. 2 Fuente: SUCERTE 8

27 Con la aparición de los cerebros electrónicos, esta mentalidad se mantuvo, porque Quién sería capaz de entender estos complicados aparatos como para poner en peligro la integridad de los datos por ellos utilizados? Para dar respuesta satisfactoria es necesario eliminar la incertidumbre y distinguir entre la seguridad filosófica y operacional o práctica. Como se sabe los problemas nunca se resuelven: la energía del problema no desaparece, solo se transforma y la solución estará dada por su transformación en problemas diferentes, más pequeños y aceptables. Por ejemplo, la implementación de un sistema informático puede solucionar el problema de la velocidad de procesamiento pero no abrirá problemas como el de personal sobrante o reciclable. Estos, a su vez, descontentos pueden generar un problema de seguridad interno. En el presente, cada vez que se mencione Información se estará haciendo referencia a la Información que es procesada por un Sistema Informático; definiendo este último como el conjunto formado por las personas, computadoras (hardware y software), papeles, medios de almacenamiento digital, el entorno donde actúan y sus interacciones. El objetivo de la seguridad informática será mantener la Integridad, Disponibilidad, Privacidad, Control y Autenticidad de la información manejada por computadora, para realizar un análisis de la Seguridad Informática se deberá conocer las características de lo que se pretende proteger como lo son los activos de la empresa, los datos, la información. Uno de los conceptos importantes a tratar, según el autor Rafael Fernández define al dato como: La unidad mínima con la que se compone cierta información. 3 Y la Información la define como: La agregación de datos que tiene un significado especifico mas allá de cada uno de estos 4, y tendrá un sentido particular según como y quien la procese. Establecer el valor de la Información es algo totalmente relativo, pues constituye un recurso que, en muchos casos, no se valora adecuadamente debido a su intangibilidad, cosa que no ocurre con los equipos, las aplicaciones y la documentación. 3 CALVO, Rafael Fernández. Glosario Básico Inglés Español para usuarios de Internet CALVO, Rafael Fernández. Glosario Básico Inglés Español para usuarios de Internet

28 Existe Información que debe o puede ser pública: puede ser visualizada por cualquier persona; y aquella que debe ser privada: solo puede ser visualizada por un selecto grupo de personas. En esta última se deben maximizar los esfuerzos ya que para preservar la Información es importante tomar en cuenta sus características como lo son: 1) Es crítica: Para garantizar la continuidad operativa. 2) Es valiosa: Es el activo con valor en si misma. 3) Es sensitiva: Es conocida por las personas que lo procesan y sólo por ellas. De acuerdo con la referencia del autor Gómez Vieites Álvaro en la enciclopedia de la Seguridad Informática explica de la siguiente manera los conceptos de: La Integridad.- Se encarga de garantizar que un mensaje o fichero no ha sido modificado desde su creación o durante su transmisión a través de una red informática. La Disponibilidad u Operatividad.- Se encarga de garantizar el cumplimiento de sus objetivos, ya que se debe diseñar un sistema lo suficientemente robusto frente a ataques e interferencias como para garantizar su correcto funcionamiento, de manera que pueda estar permanentemente a disposición de los usuarios que deseen acceder a sus servicios. La Privacidad o Confidencialidad.- Es la necesidad de garantizar que cada mensaje transmitido o almacenado en un sistema informático solo podrá ser leído por su legítimo destinatario. Si dicho mensaje cae en manos de terceras personas, estas no podrán acceder al contenido del mensaje original. Por lo tanto este mensaje pretende garantizar la confidencialidad de los datos almacenados en un equipo, de los datos guardados en dispositivos de Backup y/o de los datos transmitidos a través de redes de comunicaciones. El Control.- Permite asegurar que sólo los usuarios autorizados pueden decidir cuándo y cómo permitir el acceso a la misma. La autenticidad.-garantiza que la identidad del creador de un mensaje o documento es legítima, es decir, gracias a esta función, el destinatario de un mensaje podrá estar seguro de que su creador es la persona que figura como remitente de dicho mensaje. Ver Glosario 10

29 Asimismo, también podemos hablar de la autenticidad de un equipo que se conecta a una red o intenta acceder a un determinado servicio. Protección a la Replica: No se deberá poder grabar una transacción para luego reproducirla, con el propósito de copiar la transacción para que parezca que se recibieron múltiples peticiones del mismo remitente original. El objeto de este servicio de seguridad consiste en implementar un mecanismo probatorio que permita demostrar la auditoría y envió de un determinado mensaje, de tal modo que el usuario que lo ha creado y enviado a través del sistema no pueda posteriormente negar esta circunstancia, situación que también se aplica al destinatario de envió. Este es un aspecto de especial importancia en las transacciones comerciales y que permite proporcionar a los compradores y vendedores seguridad jurídica que va a estar soportada por este servicio. 2.3 Definición de Seguridad En la actualidad, la seguridad informática ha adquirido gran auge, dadas las cambiantes condiciones y las nuevas plataformas de computación disponibles. La posibilidad de interconectarse a través de redes, ha abierto nuevos horizontes que permiten explorar más allá de las fronteras de la organización. Esta situación ha llevado a la aparición de nuevas amenazas en los sistemas computarizados. Consecuentemente, muchas organizaciones gubernamentales y privadas internacionales han desarrollado documentos y directrices que orientan en el uso adecuado de estas destrezas tecnológicas y recomendaciones con el objeto de obtener mayor provecho de estas ventajas, y evitar el uso indebido de las mismas. Esto puede ocasionar serios problemas en los bienes y servicios de las empresas del mundo. En este sentido, las políticas de seguridad informática conocidas como PSI surgen como una herramienta organizacional para concientizar a cada uno de los miembros de una organización sobre la importancia y sensibilidad de la información y servicios críticos que favorecen el desarrollo de la organización y su buen funcionamiento. Conceptualizando, La seguridad informática es una disciplina como tal, que se relaciona con diversas técnicas, aplicaciones y dispositivos encargados de asegurar la integridad y privacidad de la información de un sistema informático y sus usuarios. 5 Ver Glosario 5 Gómez Vieites Álvaro, Enciclopedia de la Seguridad Informática, Alfa omega-rama, Pp

30 2.4 La Importancia de la Seguridad Asegurar la continuidad del negocio es uno de los retos más importantes dentro del ámbito de la seguridad informática, durante la última década, la seguridad de redes de última generación ha evolucionado a partir de su concepto inicial, basado en soluciones puntuales como firewalls* (cortafuegos) y mecanismos de encriptación, dando pie a una nueva generación de tecnologías destinadas principalmente a identificar, prevenir y proteger todo un universo de vulnerabilidades posibles dentro de una red. Como era de prever, la manifestación del fenómeno de Internet, así como del correo electrónico y en general, la masiva explosión de las redes informáticas y de los recursos presentes en este nuevo escenario presidido por las TI, han ampliado y agilizado enormemente las capacidades comunicativas y productivas de millones de usuarios y corporaciones. Sin embargo, este entramado tecnológico ha sido aprovechado también como el medio más propicio y eficiente para la propagación de virus informáticos, el acceso indebido a la información confidencial o la realización de licitas transacciones comerciales, por mencionar algunos ejemplos representativos. Consecuentemente, debido al aumento de la capacidad y complejidad de las redes de información y de las organizaciones que las usan, las limitaciones de las soluciones puntuales para la seguridad de las distintas herramientas informáticas son incapaces de satisfacer las necesidades de la mayor pare de los entornos corporativos, así como de muchos de los usuarios domésticos. Además, la escalabilidad, disponibilidad y continuidad del negocio que proporciona el entramado informático de una organización es otros de los pilares básicos en los que se asientan la productividad de buena parte del éxito comercial de los modernos negocios, características del todo necesarias en la implantación de innovadoras infraestructuras de red disponibles para ámbitos comerciales para cualquier tamaño. Ver Glosario 12

31 2.5 Historia de las Redes de Datos La historia de las redes de datos es compleja ya que participaron en ella muchas personas de todo el mundo a lo largo de los últimos 35 años, en donde retomaremos solo los hechos más importantes de la evolución de la Internet como se hace referencia en la Tabla 1 Historia de las Redes de Datos AÑO ACONTECIMIENTO Antes de 1800 Comunicaciones de larga distancia a través de mensajeros, jinetes, señales de humo, palomas mensajeras, telégrafo óptico, telégrafo eléctrico. Década de 1890 Bell inventa el teléfono Primera transmisión inalámbrica de Marconi. Década de 1920 Radio AM Radio FM. Década de 1940 La Segunda Guerra Mundial provoca el auge de la radio y el desarrollo de las microondas, los computadores eran enormes dispositivos electromecánicos que eran propensos a sufrir fallas Shockley, Barden y Brittain inventan el transistor de estado sólido (semiconductor) Claude Shannon publica Teoría matemática de la comunicación. Década de 1950 Invención de los circuitos integrados El Departamento de Defensa de Estados Unidos crea la ARPAnet. Década de 1960 Los mainframes Leonard Kleinrock publicó desde el MIT el primer documento sobre la teoría de conmutación de paquetes Paul Baran de RAND trabaja en redes de conmutación de paquetes Lawrence Roberts conectó una computadora en Massachusetts con una en California a través de una línea telefónica conmutada de baja velocidad Larry Roberts publica el primer informe sobre ARPAnet Se crea el primer enlace por medio de la línea telefónica conmutada. Década de 1970 Uso generalizado de circuitos digitales integrados; advenimiento de los PC digitales La universidad de Hawaii desarrolla ALOHAnet Ray Tomlinson crea un programa de correo electrónico para enviar mensajes Demostración de ARPANET, funcionaba de forma distribuida sobre la red telefónica conmutada Bob Kahn y Vint Cerf empiezan a trabajar en lo que posteriormente se transformaría en TCP/IP. La red ARPAnet pasa a ser internacional con conexiones en la University College en Londres, Inglaterra, y el Establecimiento Real de Radar en Noruega BBN abre Telnet. La primera versión de ARPAnet. Década de 1980 Uso generalizado de los PC y de los microcomputadores basados en UNIX Se asigna el término Internet a un conjunto de redes Interconectadas ISO lanza el modelo OSI; los protocolos desaparecen pero el modelo tiene gran influencia El Protocolo de Control de Transmisión / Protocolo Internet (TCP/IP) se transforma en el lenguaje universal de Internet. ARPAnet se divide en ARPAnet y MILnet ARPANET cambió el protocolo NCP por TCP/IP Se funda Cisco Systems; comienza el desarrollo de gateways* y routers*. Se introduce el Servicio de Denominación de Dominio. La cantidad de hosts de Internet supera los

32 1986 Desarrollo de NSFNET que se convirtió en la principal Red en árbol de Internet, complementada después con las redes NSINET y ESNET, todas ellas en Estados Unidos. Paralelamente, otras redes troncales en Europa, tanto públicas como comerciales, junto con las americanas formaban el backbone de Internet Se crea NSFnet (con una velocidad de backbone de 56 Kbps) La cantidad de hosts de Internet supera los DARPA forma el Equipo de Respuesta de Emergencia Informática (CERT) La cantidad de hosts de Internet supera los Integración de los protocolos OSI en la arquitectura de Internet, se inicia la tendencia actual de permitir no sólo la interconexión de redes de estructuras distintas, sino también la de facilitar el uso de distintos protocolos de comunicaciones Se construyó el primer cliente Web, en donde el ARPAnet es llamado World Wide Web (WWW), y el primer servidor web ARPAnet se transforma en Internet Se crea la World Wide Web (WWW). Tim Berners-Lee desarrolla el código para la WWW Se organiza la Internet Society (ISOC). La cantidad de hosts supera el millón Aparece Mosaic, el primer navegador de Web de base gráfica Se presenta el navegador de Web Netscape Navigator La cantidad de hosts de Internet supera los diez millones. Internet abarca a todo el planeta Se crea el Registro Americano de Números de Internet (ARIN). Internet 2 se pone en línea Fines de la década de los 90 hasta la actualidad.- La cantidad de usuarios de Internet se duplica cada 6 meses Cisco alcanza el 70% de las ventas a través de Internet, se lanzan las academias de Networking La red de backbone de Internet 2 implanta IPv6. Las empresas más importantes se lanzan a la convergencia entre vídeo, voz y datos La cantidad de hosts de Internet supera los 110 millones. Tabla No. 1 Historia de las Redes de Datos 2.6 Definición de Redes de Datos Figura No. 1 Ejemplificación de las Redes de Datos Ver Glosario 14

33 Como se mostró en la Figura No. 1 Ejemplificación de las Redes de Datos, las redes de datos desde hace mucho tiempo han tenido varios significados. Por ejemplo en el diccionario aparecen como: Una malla Un sistema de líneas, camino o canales entrelazados con un fin en común. Cualquier sistema interconectado; por ejemplo, una red de difusión de televisión. Un sistema en el que se conectan entre sí varios equipos independientes para compartir datos y periféricos, como discos duros e impresoras. Las redes de computadoras se refieren a la comunicación y transmisión electrónica de datos de un sistema a otro. El funcionamiento de redes se refiere al concepto de conectar un grupo de sistemas con el propósito expreso de compartir información. Por lo que podemos deducir que el propósito de las redes de equipos es la capacidad de compartir información de forma eficiente es lo que le da a las redes de equipos su potencia y atractivo. Una red de equipos consiste en dos equipos conectados entre sí con un cable que les permite compartir datos. Todas las redes de equipos, independientemente de su nivel de sofisticación, surgen de este sistema tan simple. Aunque puede que la idea de conectar dos equipos con un cable no parezca extraordinaria, al mirar hacia atrás se comprueba que ha sido un gran logro a nivel de comunicaciones. Las redes de equipos surgen como respuesta a la necesidad de compartir datos de forma rápida, los equipos personales son herramientas potentes que pueden procesar y manipular rápidamente grandes cantidades de datos, pero no permiten que los usuarios compartan los datos de forma eficiente. Antes de la aparición de las redes, los usuarios necesitaban imprimir sus documentos o copiar los archivos de documentos en un disco para que otras personas pudieran editarlos o utilizarlos. Si otras personas realizaban modificaciones en el documento, no existía un método fácil para combinar los cambios. A este sistema se le llamaba, y se le sigue llamando, trabajo en un entorno independiente. 15

34 La cantidad de datos que se necesitan compartir y las distancias que deben cubrir los datos superan con creces las posibilidades del intercambio de disquetes. Pero qué sucedería si un equipo estuviera conectado a otros? Entonces podría compartir datos con otros equipos, y enviar documentos a otras impresoras. Esta interconexión de equipos y otros dispositivos se llama una red, y el concepto de conectar equipos que comparten recursos es un sistema en red. El Concepto de funcionamiento de Redes implica: 1) Metodología y Protocolos de Comunicación: Describe las reglas que los miembros de la red deben acatar para poder establecer la comunicación con cada uno de ellos. 2) Topología y Diseño: Describe como están conectados los sistemas. 3) Direccionamiento. Describe como se localizan entre si los sistemas dentro de una red. Implica asignar a un nodo de red una dirección única que permita a otros sistemas o dispositivos localizarlo. 4) Enrutamiento: Describe la manera en que los datos son transferidos de un sistema a otro a través de una red. Implica determinar la ruta que un paquete de datos toma al viajar entre los nodos fuente y destino 5) Confidencialidad: Tiene que ver con la integridad de los datos recibidos que sean exactamente igual a los enviados. 6) Inter-operatividad: Se refiere al grado en que los productos de software y hardware desarrollados por diferentes vendedores son capaces de comunicarse con éxito entre sí a través de una red 7) Seguridad: Pertinente al mantenimiento o protección de todos los componentes de una red. 8) Estándares: Establecer las reglas y normas específicas que deben observarse. Por lo que una red de datos se conceptualiza como una colección de computadoras y otros dispositivos (nodos) que usan un protocolo común de red para compartir recursos entre sí a través de una media red (enlace mediante el cual tiene lugar la comunicación). Las Redes de Datos implican al menos 3 criterios específicos: 1) Conectividad. Que se refiere a un enlace o conexión física entre miembros de una red. 2) Lenguaje. Se refiere a un vocabulario específico convenido mutuamente sin reglas de comunicación que los miembros deben acatar. 3) Medios. Ambiente físico usado para conectar medios de una red, facilitando la comunicación al proporcionar un ambiente misma que se presenta en dos categorías. a. Cables Alámbricos: Par Trenzado, Cable Coaxial, Fibra Óptica. b. Cables Inalámbricos: Ondas de Radio, Microondas, Comunicación Satelital. 16

35 Por otro lado los Protocolos nos van ayudar a facilitar el establecimiento de la comunicación proporcionando a los miembros un lenguaje común. Los protocolos son un conjunto aceptado y establecido de procedimientos, reglas o especificaciones formales que obtienen un comportamiento o lenguaje específico. Estándares de redes que promueven la inter-operatividad entre diferentes productos de software y de hardware. Cabe destacar que las Redes de Datos tienen sus propios objetivos como lo son: 1) Compartir recursos, equipos, información y programas que de alguna forma se encuentren dispersos en otros equipos. 2) Brindar confiabilidad en la información. 3) Transmitir información entre usuarios distantes de manera rápida, segura y económica. 4) Obtener una buena relación costo/beneficio. Los componentes básicos de las Redes de Datos: 1) Servidor: Es una computadora utilizada para gestionar el sistema de archivos de la red, da servicio a las impresoras, controla las comunicaciones y realiza otras funciones. Puede ser dedicado o no dedicado. El sistema operativo de la red está cargado en el disco fijo del servidor, junto con las herramientas de administración del sistema y las utilidades del usuario. 2) Estaciones de Trabajo: Generalmente son sistemas inteligentes, debido a que se encargan de sus propias tareas de procesamiento, así que cuanto mayor y más rápido sea el equipo, mejor. 3) Tarjetas de Conexión de Red: Permiten conectar el cableado entre los servidores y estaciones de trabajo. En la actualidad existen numerosos tipos de tarjetas que soportan distintos tipos de cables y topologías de red en donde las tarjetas contienen los protocolos y ordenes necesarios para soportar al tipo de red al que está destinada, la compatibilidad a nivel físico y lógico se convierte en una cuestión relevante cuando se considera el uso de cualquier tarjeta de red. 4) Cableado: Los tipos de cableado más populares son par-trenzado, cable coaxial y fibra óptica, además de que se pueden realizar conexiones a través de radio y microondas. a. Par Trenzado. Consiste en dos hilos de cobre trenzado, aislado de forma independiente y trenzados entre sí. El par está cubierto por una capa aislante externa. Entre sus principales ventajas tenemos: Transferencia de Mbps Costo Moderado Tamaño de los medio y el conector- Mediano Grande Longitud Máxima de cable. 100m 17

36 b. Cable Coaxial. Se compone de un hilo conductor de cobre envuelto por una malla trenzada plana que hace las funciones de tierra, entre el hilo conductor y la malla hay una capa gruesa de material aislante, y todo el conjunto está protegido por una cobertura externa, este cable está disponible en dos espesores: grueso y fino. El cable grueso soporta largas distancias, pero es más caro y el cable fino puede ser más práctico para conectar puntos cercanos. Ofreciendo ventajas como: Soporta comunicaciones en banda ancha y en banda base. Es útil para varias señales, incluyendo voz, video y datos. c. Conexión fibra óptica.- Esta conexión es cara pero, permite transmitir la información a gran velocidad e impide la intervención de las líneas. Como la señal es transmitida a través de luz, existen muy pocas posibilidades de interferencias eléctricas o emisión de señal. El cable consta de dos núcleos ópticos, uno interno y otro externo, que refractan la luz de forma distinta. La fibra está encapsulada en un cable protector. Ofreciendo las siguientes ventajas: Alta velocidad de transmisión. No emite señales eléctricas o magnéticas, lo cual redunda en la seguridad. Inmunidad frente a interferencias y modulación cruzada. Mayor economía que el cable coaxial en algunas instalaciones. Soporta mayores distancias. Para conformar una Red de Datos es indispensable elegir un patrón de conexión entre sus nodos, es decir, la forma en que estarán interconectados los distintos nodos y sé que se le denomina topología de red en donde existen diversos tipos de topologías y se consideran tres tipos básicos o puros de topologías las cuales son Bus, Estrella y Anillo; de ellas se derivan otras como árbol y malla. Aspectos diferentes de una topología: La topología física, que es la disposición real de las máquinas, dispositivos de red y cableado (los medios) en la red. La topología lógica, que es la forma en que las máquinas se comunican a través del medio físico. Los dos tipos más comunes de topologías lógicas son broadcast (Ethernet) y transmisión de tokens (Token Ring*). Ver Glosario 18

37 La topología de broadcast simplemente significa que cada host envía sus datos hacia todos los demás hosts del medio de red. Las estaciones no siguen ningún orden para utilizar la red, sino que cada máquina accede a la red para transmitir datos en el momento en que lo necesita y en esta forma es en la que funciona Ethernet. En cambio, la transmisión de tokens controla el acceso a la red al transmitir un token eléctrico de forma secuencial a cada host. Cuando un host recibe el token significa que puede enviar datos a través de la red.los diversos tipos de topologías se mencionan a continuación: Topología De Bus: Es aquella que tiene todos sus nodos conectados directamente a un enlace y no tiene ninguna otra conexión entre nodos. Físicamente cada host está conectado a un cable común, por lo que se pueden comunicar directamente, aunque la ruptura del cable hace que los hosts queden desconectados, como se muestra en la Figura No. 2 Topología de Bus. Figura No. 2 Topología de Bus Topología De Anillo: Se compone de un solo anillo cerrado formado por nodos y enlaces, en el que cada nodo está conectado solamente con los dos nodos adyacentes. Figura No. 3 Topología de Anillo Los dispositivos se conectan directamente entre sí por medio de cables y para que la información pueda circular, cada estación debe transferir la información a la estación adyacente como se muestra en la Figura No. 3 Topología de Anillo. Topología De Anillo Doble: Una topología en anillo doble consta de dos anillos concéntricos, donde cada host de la red está conectado a ambos anillos, aunque los dos anillos no están conectados directamente entre sí. Topología En Estrella: Es aquella que tiene un nodo central desde el que se irradian todos los enlaces hacia los demás nodos. Por el nodo central, generalmente ocupado por un hub, pasa toda la información que circula por la red como se muestra en la Figura No. 4 Topología de Estrella. Ver Glosario 19

38 Topología En Estrella Extendida: Es igual a la topología en estrella, con la diferencia de que cada nodo que se conecta con el nodo central también es el centro de otra estrella. Generalmente el nodo central está ocupado por un hub o un switch, y los nodos secundarios por hubs. Figura No. 4 Topología de Estrella Topología en Árbol: Es similar a la topología en estrella extendida, salvo en que no tiene un nodo central. En cambio, un nodo de enlace troncal, generalmente ocupado por un hub o switch, desde el que se ramifican los demás nodos como se muestra en la Figura No. 5 Topología de Árbol. Figura No. 5 Topología de Árbol Topología En Malla Completa: Es aquella en donde cada nodo se enlaza directamente con los demás nodos. Las ventajas son que, como cada todo se conecta físicamente a los demás, creando una conexión redundante, si algún enlace deja de funcionar la información puede circular a través de cualquier cantidad de enlaces hasta llegar a destino como se muestra en la Figura No. 6 Topología de Malla Completa. Figura No. 6 Topología de Malla Completa Ver Glosario 20

39 2.6.1 Tipos de Redes La tipificación más comercial de las redes de datos se clasifica de acuerdo a su escala, capa de red, a su relación funcional, los servicios que proporciona, los protocolos que utiliza, su técnica de transferencia, topología y según el medio de comunicación que se maneje como se muestra en la Tabla No.2 Tipificación de las Redes de Datos. CLASIFICACION DESCRIPCION EJEMPLOS Escala Capa de Red Las redes de ordenadores se pueden clasificar según la escala o el grado del alcance de la red, por ejemplo como red personal del área (PAN), la red de área local (LAN), red del área del campus (CAN), red de área metropolitana (MAN), o la red de área amplia (WAN). Las redes de ordenadores se pueden clasificar según la capa de red en la cual funcionan según algunos modelos de la referencia básica que se consideren ser estándares en la industria tal como el modelo OSI de siete capas y el modelo del TCP/IP de cinco capas. PAN CAN LAN MAN WAN Modelo OSI Capa Física. Capa de Enlace. Capa de Red. Capa de Transporte. Capa de Sesión. Capa de Presentación. Capa de Aplicación. La relación funcional Los servicios proporcionados El protocolo Según la Técnica de Transferencia Las redes de ordenadores se pueden clasificar según las relaciones funcionales que existen entre los elementos de la red, servidor activo por ejemplo del establecimiento de una red, de cliente y arquitecturas del Par-a-par. Las redes de ordenadores se pueden clasificar según los servicios que proporcionan, por ejemplo redes del almacén, granjas del servidor, redes del control de proceso, red de valor añadido, red sin hilos de la comunidad, etc. Las redes de ordenadores se pueden clasificar según el protocolo de comunicaciones que se está utilizando en la red. Ver los artículos sobre la lista de los apilados del protocolo de red y la lista de los protocolos de red. Redes de difusión: Aquellas cuando uno de sus componentes envía información, ésta llega al resto de los componentes de la red. Redes conmutadas. Cuando se establece un enlace, como si se tratase de un enlace punto a punto entre el origen y el destino, siendo transparente para los demás ducha comunicación. A su vez, las redes conmutadas en redes de conmutación de circuitos, redes de conmutación de mensajes y conmutación de paquetes. Modelo TCP/IP Capa Host a Red. Capa de Red. Capa de Transporte. Capa de Aplicación. Cliente-Servidor Peer-to-Peer (P2P) Voz Datos Audio IEEE 802.3, estándar para Ethernet IEEE 802.5, estándar para Token Ring IEEE , estándar para Wi-Fi IEEE , estándar para Bluetooth Redes de difusión: Redes punto a punto Redes Conmutadas: Por circuitos y por paquetes 21

40 La topología de la red Define como están conectadas computadoras, impresoras, dispositivos de red y otros dispositivos. En otras palabras, una topología de red describe la disposición de los cables y los dispositivos, así como las rutas utilizadas para las transmisiones de datos. La topología influye enormemente en el funcionamiento de la red. Bus Anillo Anillo Doble Estrella Estrella Extendida Según al Medio de Comunicación Guiados No Guiados Para Trenzado, Cable Coaxial, Fibra Óptica Radio Enlaces Tabla No. 2 Tipificación de las Redes de Datos Red de Administración Personal (PAN): Son redes pequeñas, que se generan al interconectar aparatos electrónicos como PDA s o teléfonos móviles con capacidades de bluetooth o infrarrojos. Red de Área Campus (CAN): Es una colección de LANs dispersadas geográficamente dentro de un campus (universitario, oficinas de gobierno, maquilas o industrias) pertenecientes a una misma entidad en una área delimitada en kilómetros. Una CAN utiliza comúnmente tecnologías tales como FDDI y Gigabit Ethernet para conectividad a través de medios de comunicación tales como fibra óptica y espectro disperso. Red de Área Local (LAN): Son un conjunto de equipos o computadoras que pueden compartir datos, aplicaciones y recursos (por ejemplo impresoras). Las computadoras de una red de área local (LAN, Local Área Network) están separadas por distancias de hasta unos pocos kilómetros, y se suelen usar en oficinas o campus universitarios. Una LAN permite la transferencia rápida y eficaz de información en el seno de un grupo de usuarios y reduce los costes de explotación. Red de Área Metropolitana (MAN): Son redes que cubren una amplia región geográfica, a menudo un país o un continente. Este tipo de redes contiene máquinas que ejecutan programas de usuario llamadas hosts o sistemas finales (end system). Red de Área Amplia (WAN): Las WAN son similares a las LAN, pero conectan entre sí equipos separados por distancias mayores, situados en distintos lugares de un país o en diferentes países; emplean equipo físico especializado y costoso y arriendan los servicios de comunicaciones. Ver Glosario 22

41 Redes Públicas: Una red pública se define como una red que puede usar cualquier persona y no como las redes que están configuradas con clave de acceso personal. Es una red de computadoras en donde varios ordenadores están debidamente interconectados, capaz de compartir información y que permite comunicar a usuarios sin importar su ubicación geográfica. Redes Privadas: Se define como una red que puede usarla solo algunas personas y que están configuradas con clave de acceso personal. Redes Privadas Virtuales: Es plenamente un sistema de telecomunicación consistente en una red de datos restringida a u grupo cerrado de usuarios, que se construye empleando en parte o totalmente los recursos de una red de acceso público, es decir, es una extensión de la red privada de una organización usando una red de carácter público. Redes Inalámbricas: Son aquellas redes de telecomunicaciones en donde la interconexión entre nodos es implementada sin utilizar cables. Las redes inalámbricas de telecomunicaciones son generalmente implementadas con algún tipo de sistema de transmisión de información que usa ondas electromagnéticas, como las ondas de radio. La principal ventaja de las redes inalámbricas es que se eliminan metros y metros de cables, pero su seguridad debe ser más robusta por ejemplo los protocolos WPA. Red Inalámbrica de Ámbito Local (WLAN): Son las redes que cubren el ámbito de una casa, una oficina o el edificio de una empresa conocida como red de área metropolitana inalámbrica. Red Inalámbrica de Área Extensa (WWAN): Son las redes cuyo ámbito cubre áreas más amplias como por ejemplo: una ciudad. Red GSM (Global System for Mobile Communications): Es La red utilizada mayormente por teléfonos celulares. Red PCS (Personal Communications Service): Es una franja de radio que puede ser usada para teléfonos móviles en EE.UU. Red D-AMPS (Digital Advanced Mobile Phone Service): Está siendo reemplazada por el sistema GSM. Red Wi-Fi : Es uno de los sistemas más utilizados para la creación de redes inalámbricas en computadoras, permitiendo acceso a recursos remotos como internet e impresoras. Utiliza ondas de radio. Red Fixed Wireless Data: Es un tipo de red inalámbrica de datos que puede ser usada para conectar dos o más edificios juntos para extender o compartir el ancho de banda de una red sin que exista cableado físico entre los edificios. Ver Glosario Ver Glosario 23

42 Redes Infrarrojas: Las redes por infrarrojos permiten la comunicación entre dos nodos, usando una serie de leds infrarrojos para ello. 2.7 Definición de Seguridad en Redes La definición que nos ofrecen las mejores prácticas como COBIT es: Garantizar que se utilizan técnicas de seguridad y procedimientos de administración asociados (por ejemplo, firewalls, dispositivos de seguridad, segmentación de redes, y detección de intrusos) para autorizar acceso y controlar los flujos de información desde y hacia las redes. 6 La definición que nos ofrece ISO es: Es asegurar la protección de la información en redes y la protección de la infraestructura de soporte. La gestión segura de las redes, la cual puede abarcar los limites organizacionales, requiere de la cuidadosa consideración del flujo de data, implicancias legales, monitoreo y protección. También se puede requerir controles adicionales para proteger la información confidencial que pasa a través de redes públicas. 7 La definición que nos ofrece el organismo de Coordinación de Emergencia en Redes Teleinformáticas (ArCERT ) es: Seguridad en redes es mantener bajo protección los recursos y la información con que se cuenta en la red, a través de procedimientos basados en una política de seguridad tales que permitan el control de lo actuado. 8 Como conclusión: La seguridad en redes es un nivel que garantiza que el funcionamiento de todos los ordenadores de una red sea óptimo y que todos los usuarios de estas maquinas posean los derechos que les han sido concedidos así como también asegurarse de que se utilicen técnicas y procedimientos de administración para el buen funcionamiento de dichas redes. Esto puede incluir: Evitar que personas no autorizadas intervengan en el sistema con fines malignos. Evitar que los usuarios realicen operaciones involuntarias que puedan dañar el sistema. Asegurar los datos mediante la previsión de fallas. Garantizar que no se interrumpan los servicios. 6 Fuente: IT Governance Institute COBIT 4.0, Pág Fuente: Norma ISO 17799, - Pág. 75 Ver Glosario 8 Fuente:ArCERT, Manual de Seguridad en Redes, - Pág

43 2.8 Definición de Vulnerabilidades En seguridad informática, la palabra vulnerabilidad hace referencia a una debilidad en un sistema permitiendo a un atacante violar la confidencialidad, integridad, disponibilidad, control de acceso y consistencia del sistema o de sus datos y aplicaciones. Las vulnerabilidades son el resultado de bugs o de fallos en el diseño del sistema. Aunque, en un sentido más amplio, también pueden ser el resultado de las propias limitaciones tecnológicas, porque, en principio, no existe sistema 100% seguro. Por lo tanto existen vulnerabilidades teóricas y vulnerabilidades reales (conocidas como exploits ). Las vulnerabilidades en las aplicaciones suelen corregirse con parches, hotfixs o con cambios de versión. En tanto algunas otras requieren un cambio físico en un sistema informático. Las vulnerabilidades se descubren muy seguido en grandes sistemas, y el hecho de que se publiquen rápidamente por todo internet (mucho antes de que exista una solución al problema), es motivo de debate. Mientras más conocida se haga una vulnerabilidad, más probabilidades de que existan piratas informáticos que quieren aprovecharse de ellas Vulnerabilidades en Redes de Datos La evaluación de vulnerabilidad es una auditoría interna de la red y sistemas de seguridad; cuyos resultados indicarán la confidencialidad, integridad y disponibilidad de su red. Una evaluación de vulnerabilidad típicamente comienza con una fase de reconocimiento durante la cual se reúnen datos importantes relacionados con los recursos y sistemas objetivos. Esta fase lo conducirá a la fase de preparación de los sistemas, donde el objetivo es básicamente revisado contra todas las debilidades conocidas. La fase de preparación termina en la fase de informes, donde se clasifican los resultados en categorías de alto, medio y bajo riesgo y se discuten los métodos para mejorar la seguridad (o disminuir la vulnerabilidad) del objetivo. Existe una metodología que cuando un hacker pretende alterar un sistema informático, primero busca fallas, es decir vulnerabilidades que puedan afectar la seguridad del sistema en protocolos, sistemas operativos, aplicaciones e incluso a los empleados de una organización. Ver Glosario 25

44 Los términos vulnerabilidad, infracción y el más informal carencia de seguridad también se usan para referirse a las fallas de seguridad. Para poder sacar provecho de un punto vulnerable (el término técnico para aprovechar una falla), el hacker primero debe recuperar una cantidad máxima de información acerca de la arquitectura de red y acerca de los sistemas operativos y aplicaciones que se ejecutan en esta red. La mayoría de los ataques son producto de hackers inexpertos que intentan usar los puntos vulnerables que encuentran en Internet, sin conocimiento del sistema ni de los riesgos relacionados. Cuando se obtiene acceso de administrador decimos que el equipo está en peligro ya que los archivos del sistema se han modificado. En este punto, el hacker tiene todos los derechos del equipo. Si el intruso es un pirata, al finalizar eliminará sus huellas para evitar sospechas por parte del administrador de la red y para retener el control sobre los equipos en peligro durante el mayor período de tiempo posible como se ilustra en la Figura No. 7 Metodología de un Atacante. Figura No. 7 Metodología de un Atacante Tipos de Vulnerabilidades en las Redes de Datos Físicas: Se encuentran en el nivel del edificio o entorno físico del sistema. Se relaciona con la posibilidad de entrar o acceder físicamente al sistema para robar, modificar o destruir el mismo. Naturales: Se refiere al grado en que el sistema puede verse afectado por desastres naturales o ambientales que pueden dañar el sistema, tales como el fuego, inundaciones, rayos, terremotos, o quizás más comúnmente los fallos eléctricos así como también el polvo, la temperatura o la propia humedad excesiva son aumentos que se deben tomar en cuenta. Hardware y del Software: Desde el punto de vista del hardware, ciertos dispositivos pueden ser más vulnerables que otros. Así, ciertos sistemas requieren la posesión de algún tipo de herramienta o tarjeta para poder acceder a los mismos. 26

45 Vulnerabilidad de los medios o dispositivos. Se refiere a la posibilidad de robar o dañar los discos, cintas, listados de impresora, etc. Emanación: Todos los dispositivos eléctricos y electrónicos reciben radiaciones electromagnéticas. Existen dispositivos y medios de interceptar estas emanaciones y descifrar o reconstruir la información almacenada transmitida. Comunicaciones: La conexión de los ordenadores a redes supone sin duda un enorme incremento de la vulnerabilidad del sistema. Aumenta enormemente la escala del riesgo a que está sometido, al aumentar la cantidad de gente que pueda tener acceso al mismo o intentar tenerlo. También se añade el riesgo de intercepción de las comunicaciones: Se puede penetrar al sistema a través de la red, Interceptar información que es transmitida desde o hacia el sistema. Humanas: La gente que administra y utiliza el sistema representa la mayor vulnerabilidad del sistema. Toda la seguridad del sistema descansa sobre el administrador del mismo que tiene acceso al máximo nivel y sin restricciones al mismo Métodos para la Detección de Vulnerabilidades. Caja Negra: Al analista se le proporciona solo la información de acceso a la red o al sistema (podría ser solo una dirección IP), a partir de esta información, el analista debe obtener toda la información posible. Caja Blanca: El analista de seguridad tiene una visión total de la red así como acceso a todos los equipos como súper usuario. Este tipo de análisis tiene la ventaja de ser más completo y exhaustivo. Test de Penetración: Durante el test de penetración el analista de seguridad simula ser atacante. Desde esta posición, se realizan varios intentos de ataques a la red, buscando debilidades y vulnerabilidades: Estudio de la red externa Análisis de servicios disponibles Estudio de debilidades Análisis de vulnerabilidades en dispositivos en red Análisis de vulnerabilidades de implementaciones y configuraciones Denegación de servicio 27

46 El resultado del test de penetración mostrará una idea general del estado de la seguridad de los sistemas frente a los ataques. Si se encontraran una o más vulnerabilidades, no se realiza su explotación 28

47 2.9 Definición de Amenaza Es una posibilidad de violación a la seguridad, que existe cuando se da una circunstancia, capacidad, acción o evento que pudiera romper la seguridad y causar prejuicio. Es decir, una amenaza es un peligro posible que podría explotar una vulnerabilidad. 9 El resultado de un análisis de vulnerabilidad es una lista de amenazas. Existen diferentes tipos de amenazas que pueden afectar los activos o sistemas de la organización. Las clases más comunes de amenazas son: Errores Daños/Ataques Maliciosos Fraudes Robos Falla de equipo/software Las amenazas siempre existen y son aquellas acciones que pueden ocasionar consecuencias negativas en la empresa, comúnmente se indican como amenazas a las fallas, a los ingresos no autorizados, a los virus, uso inadecuado de software, los desastres ambientales como terremotos o inundaciones, accesos no autorizados, facilidad de acceso a las instalaciones etc. En conclusión una amenaza es de carácter físico o lógico y es un posible peligro al sistema en donde este puede ser ocasionado por una persona (cracker), un programa (virus, caballo de Troya, etc.), o un suceso natural o de otra índole (fuego, inundación, etc.) mismos que representan los posibles atacantes o factores que aprovechan las debilidades del sistema Clasificación de las Amenazas Amenazas Humanas Hacker: Persona que está siempre en una continua búsqueda de información, vive para aprender y todo para él es un reto; no existen barreras y lucha por la difusión libre de información, distribución de software sin costo y la globalización de la comunicación. Cracker: Son hackers cuyas intenciones van más allá de la investigación. Es una persona que tiene fines maliciosos o de venganza, quiere demostrar sus habilidades pero de la manera equivocada o simplemente personas que hacen daño solo por diversión. 9 Stallings, Fundamentos de Seguridad en Redes Aplicaciones y Estándares. 2ª Edición, Pearson, México

48 Phreaker: Son Cracker de las redes de comunicación. Personas con amplios conocimientos en telefonía. Spammers: Son aquellas personas que roban o compran direcciones de correo electrónico y realizan el envío de correos no solicitados a estas direcciones. También, pueden realizar el envío de spam a través de otras tecnologías. Personal Insiders: Hasta aquí se ha presentado al personal como víctima de atacantes externos; sin embargo, de los robos, sabotajes o accidentes relacionados con los sistemas informáticos, el 70% son causados por el propio personal de la organización propietaria de dichos sistemas. Personal Interno: Personal del propio sistema informático, rara vez es tomada en cuenta porque se supone un ámbito de confianza muchas veces inexistente generalmente estos ataques son accidentes por desconocimiento o inexistencia de las normas básicas de seguridad; pero también pueden ser del tipo intencional. Ex Empleado: Este grupo puede estar especialmente interesado en violar la seguridad de nuestra empresa, sobre todo aquellos que han sido despedidos y no han quedado conformes; o bien aquellos que han renunciado para pasar a trabajar en la competencia, también han existido casos donde el ex empleado deja Bombas Lógicas que explotan tiempo después de marcharse. Curiosos: Son personas que tienen un alto interés en las nuevas tecnologías, pero aún no tienen los conocimientos ni experiencia básicos para considerarlos hackers o crackers (podrían ser Newbies). Terroristas: Bajo esta definición se engloba a cualquier persona que ataca el sistema para causar daño de cualquier índole en él; y no sólo a la persona que coloca bombas o quema automóviles. Son ejemplos concretos de este tipo, ataque de modificación de los datos de clientes entre empresa competidoras, o de servidores que albergan páginas web, bases de datos entre partidos políticos contrarios, etc. Intrusos Remunerados: Este es, sin duda, el grupo de atacantes más peligroso, aunque también el menos habitual. Se trata de crackers o piratas con grandes conocimientos y experiencia, pagados por una tercera parte para robar secretos (código fuente de programas, bases de datos de clientes, información confidencial de satélites, diseño de un nuevo producto, etc.) o simplemente para dañar, de alguna manera la imagen de la entidad atacada. Ver Glosario 30

49 Sniffer: Es un sencillo programa que intercepta toda la información que pase por la interfaz de red a la que este asociado. Una vez capturada, se podrá almacenar para su análisis posterior. De esta forma sin necesidad de acceso a ningún sistema de la red, un atacante podrá obtener información sobre cuentas de usuario, claves de acceso o incluso mensajes de correo electrónico en el que se envían estas claves y a este tipo de técnica es al que se le conoce como sniffing. Carding-Transhing: 1. El Carding, es el uso (o generación) ilegitimo de las tarjetas de crédito (o sus números), pertenecientes a otras personas con el fin de obtener los bienes realizando fraude con ellas. Se relaciona mucho con el Hacking y el Cracking, mediante los cuales se consiguen los números de las tarjetas. 2. El Trashing, que consiste en rastrear en las papeleras en busca de información, contraseñas o directorios. Habitantes Gurus (Ciberespacio): Son considerados los maestros y los encargados de formar a los futuros hackers. Generalmente no están activos pero son identificados y reconocidos por la importancia de sus hackeos, de los cuales sólo enseñan las técnicas básicas. Lamers o Script-Kidders: Son los responsables de soltar virus y bombas lógicas en la red sólo con el fin de molestar y que otros se enteren que usa tal o cual programa. CopyHackers: Son falsificadores sin escrúpulos que comercializan todo lo copiado (robado). Bucaneros: Son comerciantes sucios que venden los productos crackeados por otros. Generalmente comercian con tarjetas de crédito y de acceso y compran a los copyhackers. Son personas sin ningún conocimiento de informática y electrónica. Newbie: Son los novatos del hacker. Se introducen en sistemas de fácil acceso y fracasa en muchos intentos, sólo con el objetivo de aprender las técnicas que puedan hacer de él, un hacker reconocido. Wanaber: Es aquella persona que desea ser hacker pero estos consideran que su coeficiente no da para tal fin. Piratas Informáticos: Este personaje es realmente peligroso desde el punto de vista del Copyright, ya que copia soportes audiovisuales (discos compactos, cassettes, DVD, etc.) y los vende ilegalmente. Creadores de Virus: Si de daños y mala fama se trata estos personajes se llevan todos los premios. Aquí, una vez más, se debe hacer la diferencia entre los creadores: que se consideran a sí mismos desarrolladores de software; y los que infectan los sistemas con los virus creados. Sin embargo es difícil imaginar que cualquier desarrollador no se vea complacido al ver que su creación ha sido ampliamente adquirida por el público. 31

50 A continuación a base de simplificar su estudio se describen las amenazas lógicas presentadas en las Redes de Datos en las Organizaciones en la Tabla No.3 Amenazas Lógicas. LOGICAS Acceso-Uso- Autorizado Identificación de amenazas Tipos de Ataque Específicamente Acceso y Hacer Uso no son el mismo concepto cuando se estudian desde el punto de vista de un usuario y de un intruso. Por ejemplo: Cuando un usuario tiene acceso autorizado, implica que tiene autorizado el uso de un recurso. Cuando un atacante tiene acceso desautorizado está haciendo uso desautorizado del sistema. Pero, cuando un atacante hace uso desautorizado de un sistema, esto implica que el acceso fue autorizado (simulación de usuario). La identificación de amenazas requiere conocer los tipos de ataques, el tipo de acceso, la forma operacional y los objetivos del atacante. Las consecuencias de los ataques se podrían clasificar en: Data Corruption: La información que no contenía defectos pasa a tenerlos. Denial of Service (DoS): Servicios que deberían estar disponibles no lo están. Leakage: Los datos llegan a destinos a los que no deberían llegar. Ingeniería Social: Es la manipulación de las personas para convencerlas de que ejecuten acciones o actos que normalmente no realizan para que revele todo lo necesario para superar las barreras de seguridad. Si el atacante tiene la experiencia suficiente, puede engañar fácilmente a un usuario en beneficio propio. Ingeniería Social Inversa: Consiste en la generación, por parte de los intrusos, de una situación inversa a la originada en Ingeniería Social. En este caso el intruso publica de alguna manera que es capaz de brindar ayuda a los usuarios, y estos lo llaman ante algún imprevisto. El intruso aprovechará esta oportunidad para pedir información necesaria para solucionar el problema del usuario y el suyo propio Trashing (Cartoneo): El Trashing puede ser físico (como el caso descripto) o lógico, como analizar buffers de impresora y memoria, bloques de discos, etc. El Trashing físico suele ser común en organizaciones que no disponen de alta confidencialidad, como colegios y universidades. Ataques de Monitorización: Este tipo de ataque se realiza para observar a la víctima y su sistema, con el objetivo de obtener información, establecer sus vulnerabilidades y posibles formas de acceso futuro. Shoulder Surfing: Consiste en espiar físicamente a los usuarios para obtener el login y su password correspondiente. El Surfing explota el error de los usuarios de dejar su login y password anotadas cerca de la computadora (generalmente en post it adheridos al monitor o teclado). Decoy: Son programas diseñados con la misma interface que otro original. En ellos se imita la solicitud de un logeo y el usuario desprevenido lo hace. Luego, el programa guardará esta información y dejará paso a las actividades normales del sistema. La información recopilada será utilizada por el atacante para futuras visitas. Scanning (Búsqueda): El escaneo, como método de descubrir canales de comunicación susceptibles de ser explotados, lleva en uso mucho tiempo. La idea es recorrer (escanear) tantos puertos de escucha como sea posible, y guardar información de aquellos que sean receptivos o de utilidad para cada necesidad en particular. Snooping Downloading: Los ataques de esta categoría tienen el mismo objetivo que el Sniffing: Obtener la información sin modificarla. Aquí, además de interceptar el tráfico de red, el atacante ingresa a los documentos, mensajes de correo electrónico y otra información guardada, realizando en la mayoría de los casos un downloading, de esa información a su propia computadora, para luego hacer un análisis exhaustivo de la misma. Ataques de Autentificación: Tiene como objetivo engañar al sistema de la víctima para ingresar al mismo. Generalmente este engaño se realiza tomando las sesiones ya establecidas por la víctima u obteniendo su nombre de usuario y password. 32

51 Spoofing Looping: Spoofing puede traducirse como hacerse pasar por otro y el objetivo de esta técnica, justamente, es actuar en nombre de otros usuarios, usualmente para realizar tareas de Snooping o Tampering (Ataques de Modificación y Daño). Utilización de Backdoors: Las puertas traseras son trozos de código en un programa que permiten a quien las conoce saltarse los métodos usuales de autentificación para realizar ciertas tareas. Habitualmente son insertados por los programadores del sistema para agilizar la tarea de probar código durante la fase de desarrollo. Utilización de Exploits: Es muy frecuente ingresar a un sistema explotando agujeros en los algoritmos de encriptación utilizados, en la administración de las claves por parte la empresa, o simplemente encontrando un error en los programas utilizados. Obtención de Passwords: Este método comprende la obtención por Fuerza Bruta de aquellas claves que permiten ingresar a los sistemas, aplicaciones, cuentas, etc. atacados. Uso de Diccionarios: Son archivos con millones de palabras, las cuales pueden ser posibles passwords de los usuarios, este archivo es utilizado para descubrir dicha password en pruebas de fuerza bruta. Denial of Service (DoS): Los protocolos existentes actualmente fueron diseñados para ser empleados en una comunidad abierta y con una relación de confianza mutua. La realidad indica que es más fácil desorganizar el funcionamiento de un sistema que acceder al mismo; así los ataques de Negación de Servicio tienen como objetivo saturar los recursos de la víctima de forma tal que se inhabilita los servicios brindados por la misma. Tabla No. 3 Amenazas Lógicas Las amenazas Involuntarias creadas por intrusos se resumen en la Tabla No.4 Amenazas Involuntarias. Virus / Código Malicioso INVOLUNTARIAS Pequeño programa invisible para el usuario (no detectable por el sistema operativo) y de actuar específico y subrepticio, cuyo código incluye información suficiente y necesaria para que, utilizando los mecanismos de ejecución que le ofrecen otros programas a través del microprocesador, puedan reproducirse formando réplicas de sí mismos susceptibles de mutar; resultando de dicho proceso la modificación, alteración y/o destrucción de los programas, información y/o hardware afectados (en forma lógica). Existen diferentes tipos de código malicioso; a continuación mencionamos algunos de ellos: Gusanos: Tienen el poder de auto duplicarse, causando efectos diversos. Troyanos: Suelen programarse como parte de programas de uso común y se activan cuando estos se ejecutan. Bombas Lógicas: Se encuentran diseñadas para activarse ante la ocurrencia de un evento definido en su lógico. Cookies: Son archivos de texto con información acerca de la navegación en Internet efectuado por el usuario, que permite a los atacantes obtener información confidencial de aquel. Keyloggers: Se trata de una aplicación destinada a registrar todas las teclas que un usuario teclea en su computadora. Spyware: Son aplicaciones que recogen y envían información sobre las páginas web que visita un usuario con mayor frecuencia, tiempo de conexión. Tabla No. 4 Amenazas Involuntarias Ver Glosario 33

52 Las amenazas físicas y naturales se mencionan a continuación ya que esas no dependen del hombre sino del factor de la naturaleza y que de igual forma afectan los servicios de las redes de datos mismas que se mencionan en la Tabla No.5 Amenazas Físicas y Naturales. Incendios Inundaciones Condiciones Climatológicas Señales de Radar Instalaciones Eléctricas FÍSICAS Y NATURALES Son causados por el uso inadecuado de combustibles, fallas de instalaciones eléctricas defectuosas, el inadecuado almacenamiento y traslado de sustancias peligrosas. El fuego es una de las principales amenazas contra la seguridad. Es considerado el enemigo número uno de las computadoras ya que puede destruir fácilmente los archivos de información y programas. Se las define como la invasión de agua por exceso de escurrimientos superficiales o por acumulación en terrenos planos, ocasionada por falta de drenaje ya sea natural o artificial. Esta es una de las causas de mayores desastres en centros de cómputos. Normalmente se reciben por anticipado los avisos de tormentas, tempestades, tifones y catástrofes sísmicas similares. Las condiciones atmosféricas severas se asocian a ciertas partes del mundo y la probabilidad de que ocurran está documentada. La frecuencia y severidad de su ocurrencia deben ser tenidas en cuenta al decidir la construcción de un edificio Terremotos: Estos fenómenos sísmicos pueden ser tan poco intensos que solamente instrumentos muy sensibles los detectan o tan intensos que causan la destrucción de edificios y hasta la pérdida de vidas humanas. La influencia de las señales o rayos de radar sobre el funcionamiento de una computadora ha sido exhaustivamente estudiado desde hace varios años. Trabajar con computadoras implica trabajar con electricidad. Por lo tanto esta una de las principales áreas a considerar en la seguridad física. Además, es una problemática que abarca desde el usuario hogareño hasta la gran empresa. Picos y Ruidos Electromagnéticos: Las subidas (picos) y caídas de tensión no son el único problema eléctrico al que se han de enfrentar los usuarios. Cableado: Los cables que se suelen utilizar para construir las redes locales van del cable telefónico normal al cable coaxial o la fibra óptica. Algunos edificios de oficinas ya se construyen con los cables instalados para evitar el tiempo y el gasto posterior, y de forma que se minimice el riesgo de un corte, rozadura u otro daño accidental. Cableado de Alto Nivel de Seguridad: Son cableados de redes que se recomiendan para instalaciones con grado de seguridad militar. El objetivo es impedir la posibilidad de infiltraciones y monitoreos de la información que circula por el cable. Consta de un sistema de tubos (herméticamente cerrados) por cuyo interior circula aire a presión y el cable. A lo largo de la tubería hay sensores conectados a una computadora. Si se detecta algún tipo de variación de presión se dispara un sistema de alarma. Tabla No.5 Amenazas Físicas y Naturales Las amenazas del hardware se mencionan a continuación ya que estas dependen de cierta forma de la manipulación del equipo de cómputo y que afectan los servicios de las redes de datos mismas que se mencionan en la Tabla No.6 Amenazas de Hardware. 34

53 Utilización Detectores Metales Utilización Sistemas Biométricos Huella Digital Verificación Automática Firmas de de de de HARDWARE El detector de metales es un elemento sumamente práctico para la revisión de personas, ofreciendo grandes ventajas sobre el sistema de palpación manual. La sensibilidad del detector es regulable, permitiendo de esta manera establecer un volumen metálico mínimo, a partir del cual se activará la alarma. La utilización de este tipo de detectores debe hacerse conocer a todo el personal. De este modo, actuará como elemento disuasivo. La Biometría es una tecnología que realiza mediciones en forma electrónica, guarda y compara características únicas para la identificación de personas que consiste en la comparación de características físicas de cada persona con un patrón conocido y almacenado en una base de datos. Los lectores biométricos identifican a la persona por lo que es (manos, ojos, huellas digitales y voz). Basado en el principio de que no existen dos huellas dactilares iguales, este sistema viene siendo utilizado desde el siglo pasado con excelentes resultados. Cada huella digital posee pequeños arcos, ángulos, bucles, remolinos, etc. (llamados minucias) características y la posición relativa de cada una de ellas es lo analizado para establecer la identificación de una persona. En este caso lo que se considera es lo que el usuario es capaz de hacer, aunque también podría encuadrarse dentro de las verificaciones biométricas. Mientras es posible para un falsificador producir una buena copia visual o facsímil, es extremadamente difícil reproducir las dinámicas de una persona: por ejemplo la firma genuina con exactitud. Tabla No.6 Amenazas de Hardware 2.10 Definición de Ataque Es un asalto a la seguridad del sistema derivado de una amenaza inteligente, para eludir los servicios de seguridad y violar la política de seguridad de un sistema. 10 A continuación se expondrán diferentes tipos de ataques, principalmente, por Hackers. Estos ataques pueden ser realizados sobre cualquier tipo de red, sistema operativo, usando diferentes protocolos, etc. En los primeros tiempos, los ataques involucraban poca sofisticación técnica. Los Insiders (operadores, programadores, data entrys) utilizaban sus permisos para alterar archivos o registros. Los Outsiders ingresaban a la red simplemente averiguando una password válida. A través de los años se han desarrollado formas cada vez más sofisticadas de ataque para explotar agujeros en el diseño, configuración y operación de los sistemas Definición de Ataque Informático Un ataque consiste en aprovechar una vulnerabilidad de un sistema informático (sistema operativo, programa de software o sistema del usuario) con propósitos desconocidos por el operador del sistema y que, por lo general, causan un daño. 10 Stallings, Fundamentos de Seguridad en Redes Aplicaciones y Estándares. 2ª Edición, Pearson, México 2004 Ver Glosario 35

54 Para poder llevar a cabo un ataque informático los intrusos deben disponer de los medios técnicos, los conocimientos y las herramientas adecuadas, deben contar con una determinada motivación o finalidad, y se tiene que dar además una determinada oportunidad como se muestra en la Fig. 8 Triangulo de Intrusión, que facilite el desarrollo del ataque (como podría ser el caso de un fallo en la seguridad del sistema informático elegido). Figura No. 8 Triangulo de Intrusión 11 Cada uno de los ataques abajo descritos en la Tabla No. 7 Tipificación de Ataques serán dirigidos remotamente y un ataque remoto se define como un ataque iniciado contra una maquina sobre la cual el atacante no tiene control físico. Esta máquina es distinta a la usada por el atacante y será llamada Víctima. 11 Seminario de Auditoria Informática impartido por M. en C. Francisco Javier Solís Álvarez Ver Glosario 36

55 TIPO DE ATAQUE Ataques de Monitorización Shoulder Surfing Decoy (Señuelos) Scanning (búsqueda) TCP Connect Scanning TCP SYN Scanning TCP FIN Scanning Fragmentation Scanning Eavesdropping Snooping-Downloading Ataques de Autentificación Spoofing-Looping DESCRIPCION El Surfing explota el error de los usuarios de dejar su login y password anotadas cerca de la computadora Los Decoy son programas diseñados con la misma interface que otro original. En ellos se imita la solicitud de un logeo y el usuario desprevenido lo hace. Luego, el programa guardará esta información y dejará paso a las actividades normales del sistema. La información recopilada será utilizada por el atacante para futuras visitas. Descubrir canales de comunicación susceptibles de ser explotados. La idea es recorrer (scanear) tantos puertos de escucha como sea posible, y guardar información de aquellos que sean receptivos o de utilidad para cada necesidad en particular. Escaneo de puertos TCP. Si el puerto está escuchando, devolverá una respuesta de éxito; cualquier otro caso significará que el puerto no está abierto o que no se puede establecer conexión con él. Cuando dos procesos establecen una comunicación usan el modelo Cliente/Servidor para establecerla. La aplicación del Servidor escucha todo lo que ingresa por los puertos. La identificación del Servidor se efectúa a través de la dirección IP del sistema en el que se ejecuta y del número de puerto del que depende para la conexión. El Cliente establece la conexión con el Servidor a través del puerto disponible para luego intercambiar datos. Este tipo de scaneo está basado en la idea de que los puertos cerrados tienden a responder a los paquetes FIN con el RST correspondiente. Los puertos abiertos, en cambio, suelen ignorar el paquete en cuestión. En lugar de enviar paquetes completos de sondeo, los mismos se particionan en un par de pequeños fragmentos IP. Así, se logra partir una cabecera IP en distintos paquetes para hacerlo más difícil de monitorizar por los filtros que pudieran estar ejecutándose en la máquina objetivo. Son programas que monitorean los paquetes que circulan por la red. Los sniffers, pueden ser colocados tanto en una estación de trabajo conectada a la red, como a un equipo Router o a un Gateway de Internet, y esto puede ser realizado por un usuario con legítimo acceso, o por un intruso que ha ingresado por otras vías. Aquí, además de interceptar el tráfico de red, el atacante ingresa a los documentos, mensajes de correo electrónico y otra información guardada, realizando en la mayoría de los casos un downloading (copia de documentos) de esa información a su propia computadora, para luego hacer un análisis exhaustivo de la misma. Spoofing puede traducirse como hacerse pasar por otro y el objetivo de esta técnica, justamente, es actuar en nombre de otros usuarios, usualmente para realizar tareas de Snooping o Tampering Una forma común de Spoofing es conseguir el nombre y password de un usuario legítimo para, una vez ingresado al sistema, tomar acciones en nombre de él. Spoofing Este tipo de ataques (sobre protocolos) suele implicar un buen conocimiento del protocolo en el que se va a basar el ataque. Los ataques tipo Spoofing bastante conocidos son el IP Spoofing, el DNS Spoofing y el Web Spoofing. 37

56 IP Spoofing DNS Spoofing Web Spoofing IP Splicing-Hijacking Utilización de BackDoors Utilización de Exploits Uso de Diccionarios Denial Of Service (DoS) Jamming o Flooding Syn Flood Connection Flood El atacante genera paquetes de Internet con una dirección de red falsa en el campo From, pero que es aceptada por el destinatario del paquete. Su utilización más común es enviar los paquetes con la dirección de un tercero, de forma que la víctima ve un ataque proveniente de esa tercera red, y no la dirección real del intruso. Este ataque se consigue mediante la manipulación de paquetes UDP pudiéndose comprometer el servidor de nombres de dominios. Si se permite el método de recursión en la resolución de Nombre Dirección IP en el DNS, es posible controlar algunos aspectos del DNS remoto. El atacante crea un sitio web completo (falso) similar al que la víctima desea entrar. Los accesos a este sitio están dirigidos por el atacante, permitiéndole monitorear todas las acciones de la víctima, desde sus datos hasta las passwords, números de tarjeta de créditos, etc. El atacante también es libre de modificar cualquier dato que se esté transmitiendo entre el servidor original y la víctima o viceversa. Se produce cuando un atacante consigue interceptar una sesión ya establecida. El atacante espera a que la víctima se identifique ante el sistema y tras ello le suplanta como usuario autorizado. Las puertas traseras son trozos de código en un programa que permiten a quien las conoce saltarse los métodos usuales de autentificación para realizar ciertas tareas. Habitualmente son insertados por los programadores del sistema para agilizar la tarea de probar código durante la fase de desarrollo. Los programas para explotar estos agujeros reciben el nombre de Exploits y lo que realizan es aprovechar la debilidad, fallo o error hallado en el sistema (hardware o software) para ingresar al mismo. Nuevos Exploits (explotando nuevos errores en los sistemas) se publican cada día por lo que mantenerse informado de los mismos y de las herramientas para combatirlos es de vital importancia. Los Diccionarios son archivos con millones de palabras, las cuales pueden ser posibles passwords de los usuarios. Este archivo es utilizado para descubrir dicha password en pruebas de fuerza bruta. El programa encargado de probar cada una de las palabras encripta cada una de ellas, mediante el algoritmo utilizado por el sistema atacado, y compara la palabra encriptada contra el archivo de passwords del sistema atacado (previamente obtenido). Este tipo de ataques desactivan o saturan los recursos del sistema. Por ejemplo, un atacante puede consumir toda la memoria o espacio en disco disponible, así como enviar tanto tráfico a la red que nadie más pueda utilizarla. SYN Flood aprovecha la mala implementación del protocolo TCP, funcionando de la siguiente manera. Se envía al destino, una serie de paquetes TCP con el bit SYN activado, (petición de conexión) desde una dirección IP Spoofeada. Esta última debe ser inexistente para que el destino no pueda completar el saludo con el cliente. La mayoría de las empresas que brindan servicios de Internet (ISP) tienen un límite máximo en el número de conexiones simultáneas. Una vez que se alcanza ese límite, no se admitirán conexiones nuevas. Así, por ejemplo, un servidor Web puede tener, por ejemplo, capacidad para atender a mil usuarios simultáneos. Si un atacante establece mil conexiones y no realiza ninguna petición sobre ellas, monopolizará la capacidad del servidor. Las conexiones van caducando por inactividad poco a poco, pero el atacante sólo necesita intentar nuevas conexiones, (como ocurre con el caso del SYN Flood) para mantener fuera de servicio el servidor. 38

57 Net Flood Land Attack Smurf o Broadcast Storm OOB, Supernuke o Winnuke Teardrop I y II Bombing-Spamming Ataques de Modificación-Daño Tampering o Data Diddling Borrado de huellas El atacante envía tantos paquetes de solicitud de conexión que las conexiones auténticas simplemente no pueden competir. En casos así el primer paso a realizar es el ponerse en contacto con el Proveedor del servicio para que intente determinar la fuente del ataque y, como medida provisional, filtre el ataque en su extremo de la línea. El siguiente paso consiste en localizar las fuentes del ataque e informar a sus administradores, ya que seguramente se estarán usando sus recursos sin su conocimiento y consentimiento. Si el atacante emplea IP Spoofing, el rastreo puede ser casi imposible, ya que en muchos casos la fuente del ataque es, a su vez, víctima y el origen último puede ser prácticamente imposible de determinar (Looping). Este ataque consiste en un Bug (error) en la implementación de la pila TCP/IP de las plataformas Windows. El ataque consiste en mandar a algún puerto abierto de un servidor (generalmente al NetBIOS 113 o 139) un paquete, maliciosamente construido, con la dirección y puerto origen igual que la dirección y puerto destino. Este ataque es bastante simple y a su vez devastador. Consiste en recolectar una serie de direcciones BroadCast para, a continuación, mandar una petición ICMP (simulando un Ping) a cada una de ellas en serie, varias veces, falsificando la dirección IP de origen (máquina víctima). Este paquete maliciosamente manipulado, será repetido en difusión (Broadcast), y cientos ó miles de hosts mandarán una respuesta a la víctima cuya dirección IP figura en el paquete ICMP. Un ataque característico, y quizás el más común, de los equipos con Windows es el Nuke, que hace que los equipos que escuchan por el puerto NetBIOS sobre TCP/UDP 137 a 139, queden fuera de servicio, o disminuyan su rendimiento al enviarle paquetes UDP manipulados. Al igual que el Supernuke, los ataques Teardrop I y Teardrop II afectan a fragmentos de paquetes. Algunas implementaciones de colas IP no vuelven a armar correctamente los fragmentos que se superponen, haciendo que el sistema se cuelgue. Los ataques tipo Teardrop son especialmente peligrosos ya que existen multitud de implementaciones (algunas de ellas forman paquetes), que explotan esta debilidad. Las más conocidas son aquellas con el nombre Newtear, Bonk y Boink. El Bombing consiste en enviar muchas veces un mensaje idéntico a una misma dirección, saturando así el mailbox del destinatario. El Spamming, en cambio se refiere a enviar un e mail a miles de usuarios, hayan estos solicitados el mensaje o no. Es muy utilizado por las empresas para publicitar sus productos. Esta categoría se refiere a la modificación desautorizada de los datos o el software instalado en el sistema víctima, incluyendo borrado de archivos. Son particularmente serios cuando el que lo realiza ha obtenido derechos de administrador o Supervisor, con la capacidad de disparar cualquier comando y por ende alterar o borrar cualquier información que puede incluso terminar en la baja total del sistema. Aún así, si no hubo intenciones de bajar el sistema por parte del atacante; el administrador posiblemente necesite darlo de baja por horas o días hasta chequear y tratar de recuperar aquella información que ha sido alterada o borrada. El borrado de huellas es una de las tareas más importantes que debe realizar el intruso después de ingresar en un sistema, ya que, si se detecta su ingreso, el administrador buscará como conseguir tapar el hueco de seguridad, evitar ataques futuros e incluso rastrear al atacante. Las Huellas son todas las tareas que realizó el intruso en el sistema y por lo general son almacenadas en Logs (archivo que guarda la información de lo que se realiza en el sistema) por el sistema operativo. 39

58 Ataques Mediante Java Applets Ataques con JavaScript y VBScript Ataques mediante ActiveX Vulnerabilidades en los Navegadores Estos Applets, al fin y al cabo, no son más que código ejecutable y como tal, susceptible de ser manipulado por intrusos. Sin embargo, partiendo del diseño, Java siempre ha pensado en la seguridad del sistema. Las restricciones a las que somete a los Applets son de tal envergadura (imposibilidad de trabajar con archivos a no ser que el usuario especifique lo contrario, imposibilidad de acceso a zonas de memoria y disco directamente, firma digital, etc.) que es muy difícil lanzar ataques. Sin embargo, existe un grupo de expertos especializados en descubrir fallas de seguridad en las implementaciones de las MVJ. Los programas realizados son interpretados por el navegador. Aunque los fallos son mucho más numerosos en versiones antiguas de JavaScript, actualmente se utilizan para explotar vulnerabilidades específicas de navegadores y servidores de correo ya que no se realiza ninguna evaluación sobre si el código. ActiveX es una de las tecnologías más potentes que ha desarrollado Microsoft. Mediante ActiveX es posible reutilizar código, descargar código totalmente funcional de un sitio remoto, etc. Cuando un usuario descarga una página con un control, se le preguntará si confía en la AC que expendió el certificado y/o en el control ActiveX. Si el usuario acepta el control, éste puede pasar a ejecutarse sin ningún tipo de restricciones (sólo las propias que tenga el usuario en el sistema operativo). Generalmente los navegadores no fallan por fallos intrínsecos, sino que fallan las tecnologías que implementan, aunque en este punto analizaremos realmente fallos intrínsecos de los navegadores, como pueden ser los Buffer Overflow que consisten en explotar una debilidad relacionada con los buffers que la aplicación usa para almacenar las entradas de usuario. Tabla No.7 Tipificación de Ataques 40

59 2.11 Definición de Riesgos El riesgo se ha definido como la posibilidad de que se produzca un impacto dado en la organización, es toda aquella eventualidad que imposibilita el cumplimiento de un objetivo. De manera cuantitativa el riesgo es una medida de las posibilidades de incumplimiento o exceso del objetivo planteado. Así definido, un riesgo conlleva dos consecuencias: ganancias o pérdidas. En lo relacionado con tecnología, generalmente el riesgo se plantea solamente como amenaza, determinado el grado de exposición a la ocurrencia de una perdida (por ejemplo el riesgo de perder datos debido a rotura de disco, virus informáticos, etc.) La Organización Internacional por la Normalización (ISO) define riesgo tecnológico como: La probabilidad de que una amenaza se materialice, utilizando vulnerabilidades existentes de un activo o un grupo de activos, generándole perdidas o daños. 12 En la definición anterior se pueden identificar varios elementos que se deben comprender adecuadamente para, comprender integralmente el concepto de riesgo manejado. Estos elementos son: probabilidad, amenazas, vulnerabilidades, activos e impactos como se muestra en la Figura No. 9 Relación de controles, ataques, amenazas, impactos y vulnerabilidades. Figura No. 9 Relación de controles, ataques, amenazas, impactos y vulnerabilidades 12 Fuente: ISO TI/TEC TR ,1996, 41

60 2.12 Definición de un Análisis de Riesgos El analisis de riesgos es una piedra angular de los procesos de evaluacion, certificacion, auditoria y acreditacion que formalizan la confianza que merece un sistema de informacion. Dado que no hay dos sistemas de informacion iguales, la evaluacion de cada sistema concreto requiere amoldarse a los componentes que lo constituyen. En analisis de riesgos proporciona una vision singular de cómo es cada sistema, que valor posee, a que amenazas esta expuesto y de que protecciones se ha dotado. Es pues el analisis de riesgos paso obligado para poder llevar acabo todas las tareas que se relacionan según el siguiente esquema de la Figura No. 10 Esquema de Auditoria de Seguridad. Figura No. 10 Esquema de Auditoria de Seguridad 2.13 Seguridad en Redes TCP/IP OSI Los protocolos que forman la suite de protocolos TCP/IP pueden describirse en términos del modelo de referencia OSI. En el modelo OSI, la capa Acceso a la red y la capa Aplicación del modelo TCP/IP están subdivididas para describir funciones discretas que deben producirse en estas capas y se muestran en la Figura No. 11 Comparación del Modelo OSI con el Modelo TCP/IP. Figura No. 11 Comparación del Modelo OSI con el Modelo TCP/IP 42

61 En la capa Acceso a la red, la suite de protocolos TCP/IP no especifica cuáles protocolos utilizar cuando se transmite por un medio físico; sólo describe la transferencia desde la capa de Internet a los protocolos de red física. Las Capas OSI 1 y 2 analizan los procedimientos necesarios para tener acceso a los medios y los medios físicos para enviar datos por una red. Los paralelos clave entre dos modelos de red se producen en las Capas 3 y 4 del modelo OSI. La Capa 3 del modelo OSI, la capa Red, se utiliza casi universalmente para analizar y documentar el rango de los procesos que se producen en todas las redes de datos para direccionar y enrutar mensajes a través de una Internetwork. El Protocolo de Internet (IP) es el protocolo de la suite TCP/IP que incluye la funcionalidad descrita en la Capa 3. La Capa 4, la capa Transporte del modelo OSI, con frecuencia se utiliza para describir servicios o funciones generales que administran conversaciones individuales entre los hosts de origen y de destino. La capa de aplicación TCP/IP incluye una cantidad de protocolos que proporcionan funcionalidad específica para una variedad de aplicaciones de usuario final. Las Capas 5, 6 y 7 del modelo OSI se utilizan como referencias para proveedores y programadores de software de aplicación. La descripción de las capas del Modelo OSI se menciona a continuación haciendo referencia en la Tabla 8 Descripción de las Capas del Modelo OSI. No. de Capa Nombre de la Capa Se encarga de Características 1 Física La transmisión binaria de la Información 2 Enlace de Datos Control de enlaces y acceso a los medios 3 Red Dirección de red y elección de ruta 4 Transporte Conexiones de extremo a extremo Transferencia confiable a través de los medios Direccionamiento lógico Transferencia confiable a través de los medios Conectividad y selección de ruta Confiabilidad del transporte de datos Establece, mantiene y termina circuitos virtuales Detección de fallos, control de flujo de la información y recuperación de errores 5 Sesión Comunicación entre nodos Establece, administra y termina sesiones entre aplicaciones 6 Presentación Representación de datos Garantiza que los datos sean legibles en el destino Formato de datos 7 Aplicación Suministra servicios de red a los procesos de aplicaciones Estructura de datos Suministra servicios de red a los procesos de aplicaciones Tabla No.8 Descripción de las Capas del Modelo OSI 43

62 Las vulnerabilidades más comunes de las distintas capas son las que a continuación se describen: Vulnerabilidades de la capa de red. Se encuentran estrechamente ligadas al medio sobre el que se realiza la conexión. Esta capa presenta problemas de control de acceso y confidencialidad. Son ejemplos de vulnerabilidades a este nivel los ataques a las líneas punto a punto: desvió de los cables de conexión hacia otros sistemas, interceptación intrusiva de las comunicaciones (pinchar una línea), escuchas no intrusivas en medios de transmisión sin cables, etc. Vulnerabilidades de la capa de Internet: En esta capa se puede realizar cualquier ataque que afecte un datagrama IP. Se incluyen como ataques contra esta capa las técnicas de sniffing, la suplantación de mensajes, la modificación de datos, los retrasos de los mensajes y la denegación de mensajes. Vulnerabilidades de la capa de transporte: Esta capa se encarga de trasmitir la información TCP o UDP sobre datagramas IP. En esta capa podemos encontrar problemas de autenticación, de integridad y de confidencialidad. Algunos ataques más conocidos en esta capa son las denegaciones de servicio debidas a los protocolos de transporte. Una de las vulnerabilidades mas graves contra estos mecanismos de control puede comportar la posibilidad de interceptación de sesiones TCP establecidas, con el objetivo de secuestrarlas y dirigirlas a otros equipos con fines deshonestos. Vulnerabilidades de la capa de aplicación: Esta capa presenta varias deficiencias de seguridad asociadas a sus protocolos. Debido al gran numero de protocolos definidos en esta capa, la cantidad de deficiencias presentes también será superior al resto de capas. Algunos ejemplos de deficiencias de seguridad a este nivel podrían ser los siguientes: Servicio de nombres de dominio Telnet* File Transfer Protocol* Hipertext Transfer Protocol* Ver Glosario 44

63 2.14 Mecanismos de Seguridad Los mecanismos de seguridad son el tercer aspecto que se considera en la seguridad de la información - cabe recordar que el primer aspecto es el ataque de seguridad y el segundo los servicios de seguridad. Un mecanismo de seguridad es una técnica que se utiliza para implementar un servicio, es decir, es aquel mecanismo que está diseñado para detectar, prevenir o recobrarse de un ataque de seguridad. Los mecanismos de seguridad implementan varios servicios básicos de seguridad o combinaciones de estos servicios básicos - los servicios de seguridad especifican "qué" controles son requeridos y los mecanismos de seguridad especifican "cómo" deben ser ejecutados los controles. No existe un único mecanismo capaz de proveer todos los servicios, pero la mayoría de ellos hacen uso de técnicas criptográficas basadas en el cifrado de la información. Un mecanismo es diseñado para detectar un ataque a la seguridad, el cual lo podemos prevenir o restablecernos de él. Es el dispositivo, físico o lógico, que reduce el riesgo. A partir de mecanismos o aplicaciones que nos permiten proteger la información y la transferencia de los mismos. Los mecanismos básicos pueden agruparse de varias formas para proporcionar los diferentes servicios de seguridad. Conviene resaltar que los mecanismos poseen tres componentes principales: Una información secreta, como claves y contraseñas, conocidas por las entidades autorizadas. Un conjunto de algoritmos, para llevar a cabo el cifrado, descifrado, y generación de números aleatorios. Un conjunto de procedimientos, que definen cómo se usarán los algoritmos, quién envía qué a quién y cuándo. Los mecanismos de seguridad se pueden clasificar en dos categorías: Mecanismos de seguridad generalizados Mecanismos de seguridad específicos Mecanismos de Seguridad Generalizados Los mecanismos de seguridad generalizados se relacionan directamente con los niveles de seguridad requeridos y algunos de estos mecanismos están relacionados al manejo de la seguridad, es decir, a la administración de seguridad y permiten determinar el grado de seguridad del sistema ya que se aplican a éste para cumplir la política general. 45

64 Dentro de este tipo se encuentran: Funcionalidad de confianza: Es utilizada para extender los otros mecanismos de seguridad. La funcionalidad digna de confianza puede proveer protección de asociaciones encima de la capa en la cual la protección es aplicada o ejercida, con esto permite determinar el grado de confianza de un determinado servicio o persona. Etiquetas de seguridad: Se asocian a los recursos para indicar el nivel de sensibilidad, se trata de números que permiten graduar la sensibilidad de determinados datos clasificando la información por niveles de seguridad: secreta, confidencial, no clasificada, etc. Detección de eventos: Incluye la detección de violaciones de la seguridad y de manera opcional la detección de eventos normales como el acceso realizado de manera exitosa. Seguimiento de auditorías de seguridad: Cualquier seguimiento se refiere a resúmenes independientes y análisis de los registros tanto del sistema como de las actividades así como los que se adquieren y que potencialmente facilitan las auditorías sobre seguridad. Recuperación de seguridad: Es tomar acciones para satisfacer las peticiones de los mecanismos como el manejo de los eventos y las funciones de administración, es decir, realiza acciones de recuperación basadas en la aplicación de una serie de reglas Mecanismos de Seguridad Específicos. Los mecanismos de seguridad específicos definen la implementación de servicios concretos. Los más importantes son los siguientes: Intercambio de autenticación: Se utiliza para verificar la supuesta identidad de quienes envían los mensajes y los datos, corroborando así que una entidad, ya sea origen o destino de la información, es la deseada. Los mecanismos de este tipo pueden ser: o o Fuertes: Comúnmente llamados de autenticación fuerte porque emplean técnicas criptográficas como las propiedades de los sistemas criptográficos de clave pública para proteger los mensajes que se van a intercambiar. Débiles: Generalmente llamados de autenticación simple ya que se basa en técnicas de control de acceso. El emisor envía su identificador y una contraseña al receptor, el cual los comprueba. 46

65 Cifrado El cifrado es la clave del mecanismo de seguridad que puede proveer confidencialidad a los datos o al flujo de tráfico aquí se hace uso de la criptografía ya que ésta envuelve los principios, significados, y métodos para la transformación matemática de los datos para esconder los contenidos de información, previniendo así la alteración o el uso no autorizado. El cifrado garantiza que la información es secreta para individuos, entidades o procesos no autorizados - confidencialidad. Un algoritmo de cifrado puede ser reversible o irreversible. Notarización: Este proceso, provee los elementos necesarios para asegurar las propiedades de la comunicación de datos entre dos o más entidades, como la integridad de datos, origen, tiempo y destino. El mecanismo de notarización, también es conocido como mecanismo de certificación ya que se recurre a terceras personas físicas o jurídicas que confirman la seguridad de procedencia e integridad de los datos además garantizan el origen, el destino, las entidades involucradas, el tiempo de tránsito, etc Firma Electrónica Este mecanismo implica el cifrado, por medio de la clave secreta del emisor, de una cadena comprimida de datos que se va a transferir. La firma digital se envía junto con los datos ordinarios. Este mensaje se procesa en el receptor, para verificar su integridad. Juega un papel esencial en el servicio de no repudio. La firma digital, aunque tiene varias ventajas y cada usuario tenga un par de claves únicas, existe el riesgo de que se presente un ataque a la integridad de los datos. En caso de que se cometa un ataque, el receptor no puede estar seguro de que el emisor del mensaje realmente lo envió. El mecanismo de firma digital soporta los siguientes servicios de seguridad: Autenticación: La seguridad de que el remitente es el único que pudo haber enviado el mensaje. Integridad del mensaje: La seguridad de que el mensaje llegó sin cambios durante el trayecto. No repudio: Porque el par de claves son únicas, la confianza de que sólo el remitente pudo haber firmado la reducción del mensaje, el remitente no puede negar que envió el mensaje. Para que se pueda proporcionar el servicio de no repudio con prueba de entrega, hay que forzar al receptor para que envíe un acuse de recibo firmado digitalmente. 47

66 Control de Acceso Los mecanismos para el control de acceso pueden ser usados para cuidar recursos físicos (ej.: acceso a una habitación donde hay servidores), recursos lógicos (ej.: una cuenta de banco, de donde solo determinadas personas pueden extraer dinero) o recursos digitales (ej.: un archivo informático que sólo puede ser leído, pero no modificado). El mecanismo de control de acceso se utiliza para autenticar las capacidades de una entidad para acceder a un recurso dado, se puede llevar a cabo en el origen o en un punto intermedio, y se encarga de asegurar que el emisor está autorizado a comunicarse con el receptor o a usar los recursos de comunicación Integridad de Datos Los mecanismos de integridad de datos aseguran que los datos no sean alterados o destruidos. Estos mecanismos tratan con la integridad de una unidad o campo de datos simples y la integridad de una secuencia de unidades o campos de datos. Existen dos procesos para determinar la integridad de una unidad o campo de datos simples. El primer proceso genera un valor en la entidad emisora y lo adiciona a la unidad o campo de datos. Este valor es un código de verificación de datos o una cantidad criptográfica que se calcula en función de los datos y que se manda como información suplementaria. El segundo proceso genera el valor correspondiente de la unidad o campo de datos recibido en la entidad receptora, y lo compara con el valor recibido Intercambio de la Autentificación Corrobora que una entidad, ya sea origen o destino de la información, es la deseada, por ejemplo, A envía un número aleatorio cifrado con la clave pública de B, B lo descifra con su clave privada y se lo reenvía a A, demostrando así que es quien pretende ser. Por supuesto, hay que ser cuidadoso a la hora de diseñar estos protocolos, ya que existen ataques para desbaratarlos. Tráfico de relleno: Provee una generación de tráfico falso, esto se logra enviando por la red mensajes sin contenido (basura) para obtener un flujo constante de mensajes - un tráfico constante - o la longitud del mensaje constante, esto significa que se envía tráfico falso junto con los datos válidos, esto es de gran valía ya que en una situación en la que haya necesidad de mantener un vasto intercambio de información entre nodos que regularmente apenas si tienen alguna comunicación ocasional, el incremento de actividad 48

67 en el canal podría entonces ser motivo de un análisis de tráfico por parte de atacantes para que el atacante no sepa si se está enviando información. Control de encaminamiento: También es conocido como control de ruta, como su nombre lo indica, está destinado a seleccionar de manera física cada una de las rutas alternativas que pueden utilizarse según el nivel de seguridad y la información que se esté transmitiendo ya que permite enviar determinada información por ciertas zonas que se consideran clasificadas o calificadas para llevar a cabo la transmisión de la información, es decir, este mecanismo de seguridad cubre todos los aspectos de la ruta que siguen los datos en la red. Unicidad: Consiste en añadir a los datos un número de secuencia, la fecha y hora, un número aleatorio, o alguna combinación de los anteriores, que se incluyen en la firma digital o integridad de datos. De esta forma se logra que la información tenga una secuencia única, esto evita que los datos enviados sean reacomodados o repetidos Hoyos de la Seguridad Los creadores de virus ya no buscan notoriedad infectando millones de PC, sino lucrarse poniendo su trabajo al servicio de cibercriminales. Año con año aumenta los intentos de fraude online. El objetivo de los piratas de Internet hoy en hoy creadores en algunas ocasiones de virus y códigos maliciosos es ganar dinero a través de los mismos, que están al servicio de spammers, hackers o estafadores. Se ha producido un crecimiento de grupos orientados al fraude telemático organizado, asegura Sergio Hernando, consultor de la empresa de seguridad Hispasec. Un ejemplo más claro de los hoyos de la seguridad en la red es la siguiente clasificación de cibercriminales: Caballos de Troya: Los troyanos, por ejemplo, se cuelan en el ordenador para abrir puertas traseras a través de las cuales controlan el sistema de forma remota. Troyanos Backdoors: Abren puertas traseras en los PC que permiten controlar el equipo de forma remota. Así, se pueden robar datos confidenciales, instalar otros códigos maliciosos o realizar ataques contra otras máquinas. Troyanos keylogger: Se instalan en el PC infectado para recoger las pulsaciones del teclado, lo que permite robar datos bancarios de los usuarios. Troyano o gusano bot: Permiten, por ejemplo, descargar otro tipo de códigos maliciosos y también convertir los ordenadores en zombis para general mensajes electrónicos no deseados (spam). 49

68 Phishing: Modalidad de fraude online que se sirve del envío de correos electrónicos, generalmente que simulan venir de entidades bancarias, para obtener las claves de banca online del usuario. Pharming: Los estafadores engañan al usuario para redireccionar al internauta a sitios web falsos con la apariencia del oficial, para poder hacerse con sus claves bancarias. Spyware: Programas espía que se camuflan en el equipo junto a alguna aplicación que se descarga el usuario. Recogen información sobre la actividad del internauta que pueden vender a empresas. Además, ralentizan la marcha del PC. 50

69 Nadie será objeto de injerencias en su vida privada, su familia, su domicilio o su correspondencia, ni de ataques a su honra o a su reputación. Toda persona tiene derecho a la protección de la ley contra tales injerencias o ataques Art.12 Declaración Universal de Derechos Humanos, 1948 El objetivo de este capítulo, será hablar acerca de la problemática que día con día se generan en las Redes de Datos dentro de las organizaciones en sectores de gobierno y privadas, ya que será la base fundamental de nuestro caso de estudio para determinar las vulnerabilidades y riesgos más comunes en las Redes de Datos.

70 3.1 INTRODUCCION Hoy en día la seguridad de las redes ha venido a ocupar un punto importante en cualquier tipo de empresa, ya que los avances tecnológicos actuales han permitido a las empresas y/o negocios que cuentan con redes de datos, tengan procedimientos establecidos para que la seguridad sea más efectiva en este tipo de redes. A diferencia de hace algunos años la seguridad de las redes se llevaba en forma manual por así mencionarlo, ahora por el contrario, los administradores de redes cuentan con diferentes alternativas tanto de hardware como de software para llevar un mejor control y con ello prevenir problemas. Para llevar a cabo la seguridad de las redes, no solamente se debe enfocar en el funcionamiento de la parte interna, sino que además se debe llevar un buen control en la parte externa, ya que también el buen funcionamiento debe tener controlada la vulnerabilidad y la confidencialidad que se tenga. La especialización en administración de redes está enfocada básicamente en asegurar que el administrador cuente con los recursos y la experiencia necesaria para poder diseñar, instalar y brindar soporte a las soluciones de red, todo esto obedece a que estos sistemas se han vuelto cada vez más complejos y críticos con la incorporación de tecnologías y aplicaciones como negocios y comercio electrónico así como también redes para voz, video y datos, además del manejo de tráfico crítico y administración de seguridad para redes pequeñas, medianas y corporativas. Hay que tomar en cuenta que las amenazas, riesgos y vulnerabilidades en las Redes de Datos aumentan tomando en cuenta los siguientes factores: Crecimiento exponencial de las Redes y Usuarios Interconectados Inmadurez de las Nuevas Tecnologías Las prácticas de ingeniería usadas por los proveedores de servicios que no producen sistemas inmunes a ataques. A medida que se avanza hacia la amigabilidad de la tecnología se aleja la seguridad de la misma. Técnicas de Ingeniería Social Comunidades de Hackers Fácil uso de herramientas de ataque Alta disponibilidad de Herramientas Automatizadas de Ataques Nuevas Tecnologías de Ataque Distribuido 52

71 3.2 Problemas de Seguridad en Redes de Datos La seguridad informática es un gran problema para las organizaciones, en este caso la seguridad en redes de datos, ya que las pérdidas están aumentando, las empresas tienen más dificultad para ocuparse de esta situación, entre otras cosas, por lo complicado que les resulta contratar a personal especializado; motivo por el cual la mayoría de las compañías decide finalmente externalizar su departamento de Sistemas. Estas son las principales conclusiones del estudio sobre seguridad gestionada en la empresa que ha encargado Symantec a la consultora Applied Research. Una encuesta en la que han participado responsables de presupuestos de tecnología de empresas de más de mil empleados situadas en Italia, Francia, Reino Unido, Alemania, Estados Unidos y España durante enero de A nivel europeo, un 58 por ciento de los encuestados informó sobre un aumento notable o significativo de las amenazas de seguridad en redes de datos. De hecho, el 95 por ciento fue testigo de ataques en los dos últimos años, más de la mitad observó este tipo de amenaza de forma habitual y un 26 por ciento presenció una cantidad grande o extremadamente grande de agresiones a la seguridad de su organización. Asimismo, un tercio señaló que los ataques habían tenido una eficacia notable o significativa en su compañía y han sido valorados como el riesgo más importante para la empresa, concretamente, más del doble que los delitos tradicionales y más del cuádruple que los terroristas. En España, las cifras no se quedan atrás; ya que un 65 por ciento de los participantes españoles consideró que las amenazas a la seguridad se habían incrementado en los dos últimos años de forma significativa; y un 65 por ciento cree que continuarán creciendo en los dos próximos años. Y por tanto GFI, que es un desarrollador internacional de software de seguridad de red, seguridad de contenido y mensajería, ha revelado una relación de problemáticas y desafíos a las que los administradores de redes y sistemas tendrán que hacer frente en el presente año, poniendo a prueba sus habilidades para proteger las redes corporativas así como algunas apuntan a la virtualización, al VOIP o a la evolución del malware como las principales amenazas actuales en materia de seguridad de redes. GFI señala al elemento humano como el mayor reto en seguridad, ya que la tecnología es un elemento neutral en sí. 53

72 3.3 Estadísticas al 2009 de Amenazas, Ataques y Vulnerabilidades en Redes de Datos Las amenazas combinadas más sofisticadas se han convertido en la nueva frontera. Las amenazas web continuarán empleando múltiples vectores para evitar su detección. Estas utilizarán los últimos trucos y técnicas, tales como el Troyano que cambia el DNS, además de que los creadores de código malicioso implementarán las mejores herramientas disponibles. Ataques en los que se piden rescates. Las previsiones apuntan a que durante la segunda mitad del año se dirigirán peticiones de rescate, especialmente a las pymes más que a los usuarios domésticos. Las empresas con presupuestos más ajustados son especialmente vulnerables ante los cibercriminales, quiénes les chantajearán solicitando pagos masivos a modo de compensación. Aumentarán los ataques a equipos MAC. Los equipos Mac, para los que generalmente no se comercializan aplicaciones antivirus, continuarán incrementando su cuota de mercado, convirtiéndose progresivamente en más vulnerables a los ataques. El malware recientemente detectado dirigido a los usuarios de Mac procede de mensajes de spam y se plantearán con una aplicación de vídeo para distribuirse. Cuando los usuarios hagan clic en el link para ver el vídeo, se infectarán con el malware. También aumentarán las amenazas que explotarán los errores de sistemas operativos alternativos, especialmente con el incremento de la popularidad de Linux (a causa del 'boom' del mercado de las netbooks). El eterno objetivo: Microsoft continuará su legado de problemas en El malware de prueba de concepto explotará Microsoft Windows 7, Surface, Silverlight y Azure. Los cibercriminales continuarán utilizando un enfoque más profesional para sus exploits de día cero con el fin de desestabilizar el programa mensual de lanzamiento de parches de Microsoft, Patch Tuesday. La guerra de ciberbandas copará los titulares. Los investigadores de seguridad son testigos de las guerras de virus, gusanos y botnets, debido a la gran competencia que existe para obtener ganancias financieras con el phishing y los fraudes, además de la reducción del tamaño de las ciberbandas y de soluciones de seguridad mejoradas. La creciente competencia entre Europa del Este y China determinará qué bandas y de qué país serán las primeras en incluir las últimas vulnerabilidades en sus kits de exploits. 54

73 Los mundos virtuales registrarán más problemas que el mundo real. Muchas de las amenazas encontradas en el mundo real aparecerán en el mundo virtual. Desde que los cibercriminales necesitan mayores audiencias para perpetrar sus crímenes, han comenzado a atacar a los residentes del mundo virtual y a los jugadores online, particularmente en Asia, donde estos juegos son extremadamente populares. Los temas relacionados con la ruptura de DNS continuarán dando quebraderos de cabeza. Según los expertos, los cibercriminales ya están utilizando técnicas como el caché DNS contaminado para crear canales de comunicación encubiertos, medidas para eludir la seguridad y suministrar contenido malicioso. Si bien la comunidad de fabricantes de seguridad, incluyendo a Trend Micro, está trabajando estrechamente con los registros y registradores hasta donde le es posible, este es un problema que la ICANN (Corporación Internet para Nombres y Números Asignados) debe solucionar. A diferencia de la economía global, la economía clandestina seguirá floreciendo. El aumento del código malicioso que roba información personal, bancaria y de tarjetas de crédito, continuará prosperando, porque ahí es donde está el dinero y el crimen electrónico se mueve y promueve simple y llanamente por razones económicas. Además, las aplicaciones engañosas son grandes negocios en el mundo clandestino, así como los sitios de subastas de malware. El robo de identidad se incrementará a escala global. Pocos países tienen leyes que regulen este tema, por lo que el robo de identidad continuará impactando entre víctimas desprevenidas en el Según el Centro de Investigación de Robo de Identidad (ITRC, por sus siglas en inglés), los informes sobre brechas e infecciones de datos batieron récords en El volumen de spam continuará creciendo. El 95 por ciento de los s contiene spam. Alrededor de millones de mensajes de correo basura, casi todos ellos procedentes de equipos comprometidos, son enviados cada día, superando así la media de los millones registrados en 2005 y En el correo basura la máxima que rige es la de a más spam enviado y mejor ingeniería social, mayor oportunidad de que los usuarios hagan clic en el mensaje. 55

74 La falta de seguridad provoca pérdidas al 98 por ciento de las empresas: Un estudio de Symantec revela cómo la seguridad informática se ha convertido en un problema de peso para la mayoría de las organizaciones, provocándoles pérdidas de productividad y credibilidad. ESET señala que la explotación de los recursos de Internet y su extensión a las plataformas móviles serán una de las principales técnicas que aprovecharán los creadores de malware durante este año. Internet será la principal vía que aprovechen los cibercriminales para hacer de las suyas este año. Así lo señala ESET, la empresa desarrolladora del antivirus ESET NOD32, que advierte de cómo la explotación de los recursos de Internet y su ampliación a las plataformas móviles serán las principales técnicas que utilizarán los creadores de malware y los usuarios maliciosos. Una de las técnicas que se utilizarán en la propagación de ataques informáticos, según ESET, será el aprovechamiento de la creciente movilidad en Internet. Así, si en el 2008 los creadores de malware estuvieron observando cómo se incrementaba el uso de Internet y su adaptación a las plataformas móviles, durante este año se centrarán en el desarrollo de nuevos exploits (vulnerabilidades) para una mayor variedad de exploradores y de nuevas variantes para Internet Explorer y Firefox. En esta línea, además se aprovecharán de servidores vulnerables para difundir y alojar malware y se crearán dominios diseñados específicamente para propagar códigos maliciosos con el uso de técnicas de posicionamiento en buscadores. La segunda técnica que más usarán los ciberdelincuentes será la automatización de ataques y medios de engaño, a través de la ingeniería social. Temas de interés general como la actual crisis financiera, serán 'excusa' para propagar malware de forma automática. ESET, alerta también de cómo se incrementará la difusión masiva de falsos programas de seguridad, una tendencia que ya se observaba en Durante este año, serán aún más las aplicaciones y programas que pasando por soluciones de seguridad auténticas sean en realidad malware que infecten a los usuarios. 56

75 Paralelamente, 2009 será un año en el que crecerá el desarrollo de negocios fraudulentos, en los que se comercializa el servicio de programadores para el diseño de software dañino para infectar al máximo de usuarios posible y obtener información privada y confidencial de los mismos. Así, aparecerán nuevas variantes de troyanos bancarios y redes de equipos zombies utilizadas para el alojamiento de sitios web ilegales, envío de spam, etc., entre otros ataques. La explotación de redes sociales y medios de información, como vehículos de difusión de malware, el uso de los juegos en línea, especialmente para robar usuarios y contraseñas de los internautas, y la utilización maliciosa de nuevos dispositivos móviles como los smartphones y los Pocket PCs, son otras de las fórmulas que, durante este año, más utilizarán los ciberdelincuentes para causar daño en Internet. De este modo, desde ESET se señala que si bien no existe una garantía de efectividad del 100 por ciento en materia de seguridad informática, la combinación de capacitación y educación de los usuarios acerca de las tendencias del malware, junto con la correcta elección de soluciones eficaces que se ajusten a las necesidades del sistema o red de equipos informáticos, es una de las mejores maneras de prevenir evolucionados ataques informáticos. Durante el pasado año, los ciberdelincuentes optaron por hacer más agresivo el malware que cambia los registros DNS (Servidor de Nombres de Dominio) de las máquina, explotaron las vulnerabilidades de los navegadores como los exploits de día cero utilizados con Microsoft Internet Explorer y también lanzaron ataques adicionales contra otros navegadores, todos ellos realizados de forma rápida y encubierta, antes de que estas compañías pudieran haber solucionado estas vulnerabilidades. El malware de robo de datos, como subraya el informe, también experimentó un enorme crecimiento. El ataque se iniciaba con el envío de un Troyano para capturar información sensible de los PCs de los usuarios que posteriormente se enviaba a un bot herder (hacker que controla un gran número de equipos comprometidos con fines maliciosos) o a otros operadores criminales, quienes explotan directamente tales datos o bien los utilizan para su venta en el mercado negro. Una vez más, Estados Unidos fue el país que más spam recibió, con el 22,5 por ciento del total, Europa se coloca al frente del ranking como el continente con más spam recibido. Los porcentajes del volumen de spam en China también registraron un incremento en los últimos meses, hasta alcanzar el 7.7 por ciento (5.23 por ciento en 2007) o con ratios menores de Rusia, Brasil y la República de Corea del Sur. 57

76 Entre enero y noviembre de 2008, se infectaron un total de 34.3 millones de PCs con boot (programas de software que permiten el control remoto del PC por terceras partes) y el incremento más grande tuvo lugar en el trimestre de junio a agosto cuanto se registró un repunte de infecciones del 476 por ciento. A destacar en este apartado la caída, en noviembre último, del grupo Mc Colo Corporation con sede en San José, calificado como una de las mayores fuentes de spam del mundo, como consecuencia del trabajo de colaboración de un grupo de investigadores de seguridad. En las estadísticas de los últimos 5 años, se ve reflejado como han aumentado las incidencias y como han afectado el campo informático de la Seguridad en Redes de Datos, como se muestra en la siguiente Tabla No.9 Incidencias Anuales de Seguridad en Redes y se muestra en la Figura No.12 Gráfica de Incidentes Anuales de Seguridad en Redes. INCIDENCIAS ANUALES AÑO INCIDENTES Tabla No. 9 Incidencias Anuales de Seguridad en Redes Figura No. 12 Gráfica de Incidentes Anuales Fuente: DSC/UNAM-CERT DGSCA, 58

77 En el 2008 se presentaron incidentes por lo que las estadísticas muestran podemos decir que en los trimestres se vieron reflejados como se muestran en la Tabla No.10 Incidentes por Trimestre en el Periodo 1er Trimestre 2do Trimestre 3er Trimestre 4to Trimestre No. de Reportes Tabla No.10 Incidencias por Trimestre en el 2008 A continuación se muestran los porcentajes de los incidentes presentados en el 2008, como se refleja en la Tabla No.11 Porcentaje de Incidencias Ocurridas en el Incidente Spam Beagle Malware Flowbots Bots Scanners Phishing Porcentaje 60.56% 23.28% 9.75% 3.23% 1.19% 0.63% 0.50% Tabla No.11 Porcentaje de Incidencias Ocurridas en el 2008 A continuación se muestra en la Figura No.13 Gráfica de Tipos de Incidentes en el 2008 y como su nombre lo dice representa los incidentes principales en el 2008 Figura No. 13 Gráfica de Tipos de Incidentes en el Fuente: DSC/UNAM-CERT DGSCA, 59

78 En donde las estadísticas reflejan que por Sistema Operativo se vieron afectados como a continuación se muestra en la Tabla No. 12 Porcentaje de Incidencias de acuerdo al Sistema Operativo en el Sistema Operativo Porcentaje Windows XP Profesional 58.91% Windows XP Home Edtion 16.32% Linux Kernel 2.4.x 9.76% Windows 2000 Profesional 4.69% Linux Rethat % Windows Server % ExtremeWare 1.69% Windows % Dynix 0.37% Windows 2000 Server 0.37% Tabla No.12 Porcentaje de Incidencias de acuerdo al Sistema Operativo en el 2008 En el 2007 se presentaron Incidentes por lo que las estadísticas trimestrales se muestran a continuación en la Tabla No.13 Incidencias por Trimestre en el 2007 Periodo 1er Trimestre 2do Trimestre 3er Trimestre 4to Trimestre No. de Reportes Tabla No.13 Incidencias por Trimestre en el 2007 A continuación se muestra en la Figura No.14 Tipos de Incidentes en el Figura No.14 Gráfica de los Tipos de Incidente en el Fuente: DSC/UNAM-CERT DGSCA, 60

79 A continuación se muestran los porcentajes de los incidentes presentados en el 2007, como se refleja en la Tabla No.14 Porcentaje de Incidencias Ocurridas en el 2007 Incidente Escaneos Bots Spam Phishing Otros Beagle Blaster Porcentaje 35.40% 32.16% 16.28% 10.91% 3.01% 1.39% 0.85% Tabla No. 14 Porcentaje de Incidencias Ocurridas en el 2007 En donde las estadísticas reflejan que por Sistema Operativo se vieron afectados como a continuación se muestra en la Tabla No.15 Porcentaje de Incidencias de acuerdo al Sistema Operativo en el Sistema Operativo Porcentaje Windows XP Profesional 71.88% Windows ME 8.94% Windows XP Home Edition 3.72% Windows 2000 Profesional 3.54% Linux Kernel 2.4.x 2.98% Linux Kernel 2.6.x 2.79% Windows NT 1.49% Windows NT 0.56% Windows 2000 Server 0.37% OpenBSD 0.37% Windows 2000 Advanced Server 37.00% Tabla No. 15 Porcentaje de Incidencias de acuerdo al Sistema Operativo en el 2007 En el 2006 se presentaron Incidentes por lo que las estadísticas trimestrales se muestran a continuación en la Tabla No.16 Incidencias por Trimestre en el 2007 Periodo 1er Trimestre 2do Trimestre 3er Trimestre 4to Trimestre No. de Reportes Tabla No. 16 Incidencias por Trimestre en el

80 A continuación se muestra en la Figura No.15 Tipos de Incidentes en el Figura No.15 Tipos de Incidentes en el A continuación se muestran los porcentajes de los incidentes presentados en el 2006, como se refleja en la Tabla No.17 Porcentaje de Incidencias Ocurridas en el Incidente Beagle Bots Spam Phishing Escaneos Blaster Porcentaje 36.78% 33.49% 14.38% 12.04% 2.39% 0.24% Tabla No. 17 Porcentaje de Incidencias Ocurridas en el 2006 En donde las estadísticas reflejan que por Sistema Operativo se vieron afectados como a continuación se muestra en la Tabla No.18 Porcentaje de Incidencias de acuerdo al Sistema Operativo en el Fuente: DSC/UNAM-CERT DGSCA, 62

81 Sistema Operativo Porcentaje Linux RedHat % Windows XP Profesional 24.98% Linux Kernel 2.4.x 9.83% Windows XP Home Edition 7.84% Windows 2000 Profesional 7.21% OpenBSD 5.55% Windows % Windows 2000 Server 2.37% Windows ME 1.07% Dynix 1.02% Windows % Windows 2000 Advanced Server 0.21% Windows Server % FreeBSD 0.12% Solaris 7 Sparc 0.08% Solaris % Windows NT 0.07% ExtremeWare 0.06% Solaris % Solaris % Tabla No. 18 Porcentaje de Incidencias de acuerdo al Sistema Operativo en el 2006 En el 2005 se presentaron 2635 Incidentes por lo que las estadísticas trimestrales se muestran a continuación en la Tabla No.19 Incidencias por Trimestre en el 2005 Periodo 1er Trimestre 2do Trimestre No. de Reportes % % Tabla No.19 Incidencias por Trimestre en el

82 A continuación se muestra en la Figura No.16 Tipos de Incidentes en el 2005 Figura No.16 Tipos de Incidentes en el A continuación se muestran los porcentajes de los incidentes presentados en el 2005, como se refleja en la Tabla No.20 Porcentaje de Incidencias Ocurridas en el 2005 y Tabla No.21 Porcentaje de Incidencias Ocurridas en el Incidente Spam Beagle Scan445 Blaster Phatbot Porcentaje 35.20% 25.84% 17.04% 14.38% 4.26% Tabla No.20 Porcentaje de Incidencias Ocurridas en el 2005 Incidente OpenProxy Escaneos Slammer Mydoom Nachy Phishing Porcentaje 1.64% 0.89% 0.74% 0.22% 0.07% 0.03% Tabla No.21 Porcentaje de Incidencias Ocurridas en el 2005 En donde las estadísticas reflejan que por Sistema Operativo se vieron afectados como a continuación se muestra en la Tabla No.22 Porcentaje de Incidencias de acuerdo al Sistema Operativo en el Fuente: DSC/UNAM-CERT DGSCA, 64

83 Sistema Operativo Porcentaje Windows XP Pro 46.73% Windows XP Home 18.47% Windows 2000 Pro 13.04% Windows ME 5.43% Windows % Windows 2000 Server 3.26% Cobalto 4.21% Windows NT 2.17% Linux kernel 2.4.x 2.17% Tabla No. 22 Porcentaje de Incidencias de acuerdo al Sistema Operativo en el 2005 En el 2004 se presentaron 2670 Incidentes por lo que las estadísticas trimestrales se muestran a continuación en la Tabla No.23 Incidencias por Trimestre en el 2004 Periodo 1er Trimestre 2do Trimestre 3er Trimestre 4to Trimestre No. de Reportes Tabla No.23 Incidencias por Trimestre en el 2004 A continuación se muestra en la Figura No.17 Tipos de Incidentes en el 2004 Figura No.17 Tipos de Incidentes en el Fuente: DSC/UNAM-CERT DGSCA, 65

84 En el 2004 se presentaron 2670 Incidentes por lo que las estadísticas trimestrales se muestran a continuación en la Tabla No.24 Porcentaje de Incidencias Ocurridas en el Incidente Phatbot Opaserv Slammer Sasser Mydoom Netsky Beagle Blaster Gabot Porcentaje 25.16% 16.12% 16.12% 10.64% 9.34% 8.06% 6.12% 3.87% 3.22% Tabla No.24 Porcentaje de Incidencias Ocurridas en el 2004 En donde las estadísticas reflejan que por Sistema Operativo se vieron afectados como a continuación se muestra en la Tabla No.25 Porcentaje de Incidencias de acuerdo al Sistema Operativo en el Sistema Operativo Porcentaje Windows XP Pro 35.84% Windows % Windows 2000 Pro 12.38% Solaris % Windows XP Home Edition 5.75% Windows 2000 Server 5.30% Linux Kernel 2.4.x 3.53% Linux Rethat % Solaris 7 Sparc 1.76% Windows NT 1.32% Windows 2000 Advanced Server 1.32% Windows Server % Solaris 8 x % OpenBSD 0.44% Tru % Solaris % Tabla No.25 Porcentaje de Incidencias de acuerdo al Sistema Operativo en el Vulnerabilidades, Amenazas y Riesgos en las Redes de Datos Las amenazas y vulnerabilidades registradas por el CCN-CERT se incrementaron en un 55% en los últimos años. Así, de las publicadas en 2004 (obviamente, no todas explotadas) se pasó a en 2006, lo que representa un incremento del 54,7%. 66

85 Si bien es cierto que en 2006 se observa un leve descenso en el número de amenazas y/o vulnerabilidades registradas frente a 2005, basta un vistazo a la serie de datos de los últimos cuatro años para observar que el ritmo de crecimiento. Los Datos estadísticos dentro de los últimos 5 años en México y el Mundo se ven reflejados en las siguientes graficas en donde se muestra la evolución de los incidentes que involucran a las redes de datos y como se han visto afectadas. La Figura No.18 Vulnerabilidades emitidas anualmente del 2005 al 2009, muestra las vulnerabilidades emitidas anualmente durante los últimos 4 años y como se ha visto reflejado el numero de vulnerabilidades existentes en el medio. Figura No.18 Vulnerabilidades emitidas anualmente del 2005 al En la Figura No.19 Vulnerabilidades Mensuales por Nivel de Riesgo en el 2008 se muestra gráficamente las vulnerabilidades y su nivel de riesgo obtenido durante todo el Figura No.19 Vulnerabilidades Mensuales por Nivel de Riesgo en el Fuente: CCN-CERT, 67

86 En la Figura No.20 Vulnerabilidades Mensuales por Nivel de Riesgo en el 2009 se muestra gráficamente las vulnerabilidades y su nivel de riesgo obtenido en los primeros meses del Figura No.20 Vulnerabilidades Mensuales por Nivel de Riesgo en el En la Figura No.21 Vulnerabilidades Semanales por Nivel de Riesgo en el 2009 se muestra gráficamente las vulnerabilidades y su nivel de riesgo obtenido semanalmente en el presente año. Figura No.21 Vulnerabilidades Semanales por Nivel de Riesgo en el Fuente: CCN-CERT, 68

87 Respecto a los tipos de riesgos que estas vulnerabilidades implican para nuestros Sistemas de Información, según publica el CERT Coordination Center, la mayoría de las amenazas recibidas cuando se está conectado constituyen casos de cibercrimen. La situación actual de este cibercrimen se caracteriza por: Los tipos de amenazas evolucionan continuamente (virus, phishing, defacement, etc.). Los sistemas de información para misiones críticas de las organizaciones se están integrando cada vez más con Internet. El daño y la velocidad de los ataques se incrementan continuamente. El software continúa teniendo vulnerabilidades intrínsecas "desde la caja". Existe un amplio consenso en considerar que el cibercrimen es una debilidad crítica de las naciones occidentales. El registro de vulnerabilidades y amenazas (recogidas en el portal se alimenta diariamente con la lectura sistemática de noticias sobre ataques a todo tipo contra Organismos y Entidades. Términos como spam, virus, phising, troyano, malware, spyware, pharming, fraude on-line, hacker o keylogger han pasado a formar parte del lenguaje común de muchos de nosotros y se encuentran en titulares de la prensa diaria tan inquietantes como: El robo informático es una nueva unidad de negocio para la mafia Piratas informáticos chinos roban información militar secreta en Taiwán La Agencia Tributaria advierte de un intento de Phishing La policía británica desbarata un plan de Al Qaeda para bloquear Internet en todo el país Una niña de seis años instala un keylogger en un ordenador del Parlamento británico Posible robo de datos al Ministerio de Economía de Rumanía". Dado que las amenazas cada vez son más complejas y, a veces, difíciles de detectar, se hace necesaria una formación del personal responsable de las TIC en todas las Organizaciones (incluidas, por supuesto, todas las Administraciones Públicas) para luchar contra la ingenuidad, la ignorancia de buenas prácticas y la falta de concienciación existente sobre la necesidad de preservar la seguridad de la información (STIC). 22 Fuente: CCN-CERT, 69

88 La Administración en su conjunto no puede ser ajena a este escenario y debe considerar el desarrollo, la adquisición, conservación y utilización segura de las TIC como algo imprescindible que garantice el funcionamiento eficaz al servicio del ciudadano y de los intereses nacionales. Sobre todo, teniendo en cuenta los nuevos retos a los que se enfrenta, procedentes de muy diversas fuentes: Servicios de Inteligencia, Grupos Organizados, Terroristas, Hackers, Grupos Criminales, Empleados deshonestos, etc. Se hace imprescindible, por tanto, tomar conciencia de los riesgos a través de medidas a todos los niveles (legislativas, organizativas y técnicas) así como de la implantación de herramientas técnicas de seguridad (anti-virus, firewalls, software para autenticación de usuarios o para cifrado de la información) y del empleo de productos certificados, de inspecciones o auditorías de seguridad, etc. Las amenazas desde el punto de vista humano pueden ser originadas en muchas ocasiones por un inadecuado uso de las herramientas informáticas a nuestro alcance. A pesar de que frecuentemente aparecen nuevas versiones de sistemas operativos y aplicaciones empresariales infalibles según los fabricantes, lo cierto es que mediante ingeniería social, características de seguridad tales como el nuevo control de acceso de usuario puede ser fácilmente evitado, engañando a los usuarios para la instalación de software que no es seguro o contaminado con malware. Asimismo, en numerosas ocasiones los administradores de redes deberán estar más atentos a las amenazas internas, las cuales pasan inadvertidas a menudo. En 2008, por ejemplo un incremento aún mayor de la proliferación de dispositivos portátiles de almacenamiento y comunicación (ipods, unidades USB, placas WiFi USB, etc.) facilitarán enormemente el robo de información, las bombas lógicas y otras formas de sabotaje que pueden llevar a los negocios a la bancarrota. Otro problema relacionado con la seguridad de redes, según apuntan responsables de GFI, es la falta de conocimiento ante principios básicos de seguridad y las tendencias que están tomando el malware, spyware y demás tipos de ataques, lo que hace plantearse la seguridad como una solución cuando el problema ya se ha producido, en lugar de invertir en prevención de desastres. Un tipo de software malicioso que crecerá en el presente año, será el que tiente a la codicia de los usuarios, haciéndoles pinchar en enlaces contaminados con la perspectiva de ganar dinero fácil al 70

89 momento, lo que vuelve a llevar al elemento humano como una de las mayores amenazas en seguridad. 23 En 2009, el correo no deseado continuará su evolución con nuevos y originales intentos de romper las defensas de la red utilizando ingeniería social. Estás se extenderán más allá del correo e intentarán, por ejemplo, comprometer las infraestructuras de VOIP mediante ataques de denegación de servicio, vulnerabilidades SIP y ataques SPIT (Spam Over Internet Technology). Este año, también se espera un incremento en el número de ataques dirigidos a individuos o negocios específicos, y es altamente plausible que los autores de dichos ataques utilicen ingeniería social para conseguir acceso a información confidencial que les permita acceder a sus sistemas. Las redes sociales como Myspace o Facebook serán también un escenario clave donde los usuarios pueden ser engañados para intercambiar información personal por bienes virtuales, facultando a hackers y otros individuos maliciosos a tener acceso no autorizado a las redes. Algunas medidas propias en el 2008, para los administradores de redes se centraban en combatir los ataques que se sustentan en las vulnerabilidades humanas como la falta de conocimiento o la codicia. La mejor forma de defender las infraestructuras de potenciales amenazas es que los administradores implementen métodos para: Monitorizar la actividad de los usuarios 24 x 7 x 365 Controlar el acceso a los recursos de la red Salvaguardar toda la información empresarial Copiar todas las comunicaciones a, desde y en la empresa Establecer barreras tecnológicas que permitan el uso de dispositivos de acuerdo a una directiva clara y definida. Formar sobre recursos de red a los usuarios, tanto en seguridad como en directivas de divulgación de información. 23Fuente: La Flecha,

90 Los expertos coinciden en que este año las amenazas más prolíficas serán las diseñadas para conseguir beneficio económico. Serán amenazas capaces de llevar a cabo sus acciones de manera que el usuario no se percate de su presencia, explica Luis Corrons, director de Panda Labs, el laboratorio de la firma española de antivirus Panda Software. El año pasado, de los millones de mensajes electrónicos que analizó la red de sensores del Centro de Alerta Temprana Antivirus (perteneciente a la entidad Red.es), un 6,6% estaba infectado. Este centro detectó algo más de virus y vulnerabilidades del software. Las cifras son algo inferiores a las de 2008 (un 16,5% de infecciones) debido a la nueva dinámica de las amenazas, según explica Marcos Gómez, responsable del Centro de Seguridad Informática de Red.es. Aunque el correo electrónico se sigue utilizando como medio de difusión de virus, también se emplean otras vías como los sistemas de mensajería instantánea o las redes de intercambio de ficheros. En esta línea, se teme un incremento de las acciones de fraude en Internet. El año pasado, el 20% (3,2 millones) de los correos infectados detectados por el Centro de Alerta Temprana Antivirus tenía códigos maliciosos pensados para realizar estafas online. Los ataques de phishing (suplantar la identidad, normalmente de una entidad financiera, para obtener las claves del cliente y sustraer dinero de su cuenta) se han disparado en España en los últimos meses, con incidencias casi a diario. Según la Asociación de Internautas, el año pasado fueron detectados cerca de 300 intentos de fraude a través de phishing en nuestro país. La mayor parte de las entidades financieras fueron objetivo de estos estafadores. Este año se espera que se sofistiquen aún más las técnicas de fraude. Más allá de los correos llenos de faltas de ortografía en los que se intenta engañar al usuario para que ceda las contraseñas, se intensificará el pharming. En este caso, se redirecciona la página solicitada por el usuario a otra predeterminada por el atacante con el objetivo de hacerle creer que se encuentra en la original y actúe dentro de ella con total normalidad. 72

91 Aunque la seguridad total en Internet no existe, los expertos coinciden en la importancia de informar al usuario sobre cómo evitar caer en la estafa. Paralelamente, las fuerzas de seguridad persiguen estas redes de cibercriminales y las empresas de seguridad avanzan en tecnologías preventivas, que van más allá de los antivirus. Con la explosión del uso masivo de Internet, tanto las computadoras personales como las redes de datos, pueden ser vulnerables a diversos tipos de ataques. Internet ha pasado a ser in ningún tipo de dudas la mayor red pública de datos, a través de la cual se facilitan comunicaciones personales y empresariales en todo el mundo. El volumen de tráfico de datos que se mueve en Internet crece exponencialmente de forma diaria. Día a día crece el número de comunicaciones vía correo electrónico, acceso a las redes corporativas de tele trabajadores o personas que se desplazan constantemente, transacciones comerciales, etc. Conforme va aumentando el uso de la red de redes, aumentan las posibles amenazas sobre las distintas empresas y particulares que hacen uso de Internet. Entre los posibles ataques a los que puede estar sujeta una red corporativa o un particular se encuentran los virus, vándalos y troyanos; los ataques de hackers como podrían ser ataques de reconocimiento, de acceso, de negación de servicios y de intercepción de datos; e incluso una empresa debe ser capaz de estar protegida frente a los ataques desde dentro de la misma empresa, donde los mismos empleados de forma inconsciente, negligente o vengativa pueden causar daños irreparables. Entre las principales consecuencias de estos ataques se encuentra la perdida de datos de vital importancia, violación de la privacidad y la caída de la red durante varios días Hardware. Dispositivos Físicos Todos los sistemas informáticos, incluidas las redes, contienen dispositivos físicos, que merecen consideraciones especiales sobre su seguridad. Además, en el caso de las redes, se usan medios de comunicación para la transmisión de la información (cables o inalámbricos). 73

92 Los dispositivos pueden sufrir dos tipos de ataques: Físicos: Se busca dañarlos físicamente. Lógicos: Se busca inutilizarlos, sin acceder a ellos físicamente. Nosotros nos centraremos en los ataques lógicos, pues los físicos se pueden enlazar con las políticas habituales de protección de bienes y equipos. Vamos a describir de manera breve los principales aspectos de seguridad que se presentan en diferentes tipos de dispositivos típicos de las redes Routers, Hubs y Switchs Los routers o encaminadores realizan funciones de filtrado y de encaminamiento de los paquetes (nivel físico, enlace y red de OSI), a diferencia de los switchs, trabajan sobre paquetes en lugar de sobre tramas. Usan el direccionamiento de red (IP, normalmente), mediante tablas de rutas. Como características comunes podemos encontrar que: Usan diferentes protocolos (RIP, OSPF, IGRP, EIGRP, BGP, etc.). Pueden sufrir diferentes tipos de ataques: o Denegación de servicio, similares a los de los switchs. o Ataques de acceso para modificación de tablas de rutas. La solución a estos problemas pasa por utilizar mecanismos de autenticación fuertes. Los hubs o concentradores son básicamente repetidores de varios puertos, por lo que presentan la misma problemática que los repetidores simples. Los switchs o conmutadores, son dispositivos híbridos entre los hubs y los bridges. Resuelven funciones de hasta el nivel de enlace OSI (e incluso, algunos hasta de nivel de red), aprenden las direcciones MAC de los nodos conectados en cada puerto, y optimizan la comunicación, evitando la acción de los sniffers. Los switchs, también permiten la construcción de VLANs (dada la complejidad de estos dispositivos necesitan de una administración, y por tanto, si ésta no se hace bien, pueden ser objeto de ataques, se suelen administrar de forma local (RS232, USB) o remotamente (telnet, ssh, http o https). Lo mejor es usar una conexión segura. 74

93 Servidores y Estaciones de Trabajo Las estaciones de trabajo son las computadoras donde trabajan los usuarios. Su seguridad física es similar a la de cualquier otro bien valioso. En cuanto a su seguridad lógica, depende del sistema operativo que use. Los servidores son máquinas que se conectan a la red de forma permanente, para proporcionar servicios a otros servidores y a los usuarios. Suelen utilizar sistemas operativos más potentes y seguros que las estaciones de trabajo, pues sus requerimientos de rendimiento y seguridad son mucho mayores. Podemos distinguir diferentes tipos de servidores: o Servidores de datos. o Servidores de autenticación Cableado Es el medio físico a través del cual se interconectan dispositivos de tecnologías de información para formar una red, y el concepto estructurado lo definen los siguientes puntos: Solución segura Modularidad Solución longeva Administración Los inconvenientes que se presentan en una red cuando se improvisa el cableado son: Desempeño muy lento de algunos puntos de la red, o inclusive tiene caídas de servicio. Posibles colisiones de información. Nula planeación de crecimiento fácil acceso a poder alterar el cableado (no existen placas de pared debidamente instaladas, ni tampoco un área restringida dedicada a bloquear el acceso a personas no autorizadas a la parte medular del cableado, el closet de comunicaciones). Sin cableado estructurado Las redes son la piedra fundamental sobre la cual se sustentan las TIC s y en la actualidad, con el advenimiento de la globalización y la necesidad de tener presencia en distintas ubicaciones geográficas a costos razonables, las PyMEs o Grandes Corporaciones, se apoyan fuertemente en la tecnología informática y las Telecomunicaciones. Tener un cableado estructurado confiable, certificado y que cumpla con las normas estándares, es tan importante como contar con un adecuado suministro de energía eléctrica. Quién pensaría en montar y proyectar una empresa sin electricidad? 75

94 Pero a pesar de ello, no todas cuentan con redes confiables, ya que han crecido de acuerdo a la demanda y en una economía con sobresaltos. La manera correcta y ordenada para un cableado es es fundamental un pensamiento estratégico en el diseño, diagramación y ejecución de obras de cableado estructurado, en resumen, preguntarse cual es la finalidad de un buen sistema de cableado estructurado: 1. Es factible integrar la transmisión de datos, servicios informáticos y telecomunicaciones? 2. Puedo garantizar la integración con servicios o tecnologías futuras? 3. Es posible independizar el cableado de la tecnología y topologías? 4. Es factible asegurar flexibilidad ante modificaciones y facilitar la gestión? 5. Podré simplificar la administración y bajar los costos? 6. Puedo asegurar el crecimiento, sin necesidad de replantear la red y posibilitar la conectividad? 7. Lograré brindar un buen desempeño de la red y obtener un muy bajo índice de problemas? 8. Puedo brindar seguridad física y a la vez colaborar para disminuir la prima de mi ART? Todas estas preguntas tienen una respuesta afirmativa si se realiza un cableado estructurado y tensión regulada, con un detallado diseño y diagramación, asegurándonos que se cumplan con los más estrictos estándares. Históricamente las fallas más comunes se dan en el cableado, siendo muy difíciles de localizar y cuando esto sucede, los empleados y los activos de las empresas se paralizan, causando pérdida de ingresos y ganancias. Aún peor, la imagen ante clientes, proveedores e inversores puede verse afectada adversamente. Un sistema de cableado estructurado adecuadamente planificado e instalado, le permitirá durante varios años invertir en otras áreas, así como eliminar los tiempos improductivos del personal de tecnología en la detección y corrección de fallas, permitiéndole reasignar funciones que generen valor agregado y que garanticen la meta final que es brindar flexibilidad, permitiendo utilizar aplicaciones y/o servicios, en cualquier lugar y en cualquier momento. 3.5 En el Software Servidores de aplicaciones: Desde un punto de vista físico, los servidores se deben asegurar eligiendo una buena ubicación física. Lo mismo es aplicable a su topología en la red. 76

95 Seguridad en el software: La seguridad del software tiene que ver con muchos aspectos: control de acceso, gestión de cuentas de usuarios, protección de ficheros, protección frente a código dañino, etc. Aunque existe una gran relación entre ellos podemos tratar por separados diferentes tipo de software Sistemas Operativos Existe una gran variedad de sistemas operativos, unos más seguros y otros menos. Los sistemas modernos, suelen responder a diseños regidos en gran parte por la seguridad, por lo que incorporan un subsistema de seguridad que interviene en la mayor parte de los aspectos de los mismos pero en general, es muy importante que el administrador del sistema conozca los aspectos de seguridad del mismo, y haga un buen de uso de ellos. En este sentido, la política de seguridad debe regir las actuaciones del administrador. Dada la situación actual, es muy importante conocer bien las características de un sistema, para administrarlo y mantenerlo de manera segura. 3.6 En los Protocolos de Comunicación y Servicios La variedad de protocolos de comunicaciones existentes, sus objetivos y su funcionamiento. Como puede preverse todos estos protocolos tienen su debilidad ya sea en su implementación o en su uso. A continuación se describen los problemas de seguridad más comunes y sus formas de prevención. Nuevamente no se verán los detalles sobre el funcionamiento de cada uno de ellos, simplemente se ofrecerán las potenciales puertas de entrada como fuentes de ataques que ni siquiera tienen por qué proporcionar acceso a la máquina (como las DoS por ejemplo). De esta forma, si cada servicio ofrecido es un p6sible problema para la seguridad, parece claro que lo ideal sería no ofrecer ninguno, poseer una máquina completamente aislada del resto; evidentemente, hoy en día no es posible en la mayor parte de los sistemas. 77

96 NETBIOS: Estos puertos ( en TCP y UDP) son empleados en las redes Microsoft para la autentificación de usuarios y la compartición de recursos. Como primera medida debe minimizarse la cantidad de recursos compartidos y luego debe evitarse permitir el acceso global a esos dispositivos, ya que es posible el acceso de intrusos desde cualquier lugar externo a la red. ICMP: A fin de prevenir los ataques basados en bombas ICMP, se deben filtrar todos los paquetes de redirección y los paquetes inalcanzables. FINGER: Típicamente el servicio Finger (puerto 79 en TCP) ha sido una de las principales fuentes de problemas. Este protocolo proporciona información detallada de los usuarios de una estación de trabajo, estén o no conectados en el momento de acceder al servicio. POP: El servicio POP (puertos 109 y 110 en TCP) utilizado para que los usuarios puedan acceder a su correo sin necesidad de montar un sistema de archivos compartidos. Se trata de un servicio que se podría considerar peligroso, por lo que debemos deshabilitarlo a no ser que sea estrictamente necesario ofrecerlo; en ese caso debemos restringir al máximo los lugares y usuario desde los que se puede acceder.mediante POP se genera un tránsito peligroso de contraseñas a través de la red. Se ofrece tres modelos distintos de autenticación: uno basado en Kerberos, apenas utilizado, otro basado en un protocolo desafío respuesta, y el otro basado en un simple nombre de usuario con su password correspondiente. NNTP: El servicio NNTP (puerto 119 en TCP) se utilizado para intercambiar mensajes de grupos de noticias entre servidores de News. Los diferentes demonios encargados de esta tarea suelen discriminar conexiones en función de la dirección o el nombre de la máquina cliente para decidir si ofrece el servicio a un determinado host, y si es así, concretar de qué forma puede acceder a él. De esta forma, los servidores NNTP son muy vulnerables a cualquier ataque que permita falsear la identidad de la máquina origen, como el IP Spoofing. NTP: (puerto 123 en UDP y TCP) es un protocolo utilizado para sincronizar relojes de máquinas de una forma muy precisa; a pesar de su sofisticación no fue diseñado con una idea de robustez ante ataques, por lo que puede convertirse en una gran fuente de problemas si no está correctamente configurado. Son muchos los problemas de seguridad relacionados con un tiempo correcto; el más simple y obvio es la poca fiabilidad que ofrecerá el sistema de Log a la hora de determinar cuándo sucedió determinado evento. 78

97 TFTP: Es un protocolo de transferencia de archivos (puerto 69 basado en UDP) que no proporciona ninguna seguridad. Por tanto en la mayoría de sistemas es deseable (obligatorio) que este servicio esté desactivado. Al utilizar este servicio en ningún momento se solicita un nombre de usuario o una clave, lo que da una idea de los graves problemas de seguridad que ofrece este servicio. FTP: Un problema básico y grave de FTP (puerto 21 en TCP) es que ha sido diseñado para ofrecer la máxima velocidad en la conexión, pero no para ofrecer la seguridad; todo el intercambio de información, desde el Login y password del usuario en el servidor hasta la transferencia de cualquier archivo, se realiza en texto claro, con lo que un atacante no tiene más que capturar todo ese tráfico y conseguir así un acceso válido al servidor. Incluso puede ser una amenaza a la privacidad de los datos el hecho de que ese atacante también pueda capturar y reproducir (y modificar) los archivos transferidos. Para solucionar este problema es conveniente dar acceso FTP a pocos usuarios bien identificados y que necesiten utilizarlo, concientizándolos de la utilidad de aplicaciones que cifren todo el tráfico de información (como SSH por ejemplo). FTP ANONIMO: El servicio FTP se vuelve especialmente preocupante cuando se trata de configurar un servidor de FTP anónimo; muchos de estas máquinas situadas en universidades y empresas se convierten en servidores de imágenes pornográficas, de Warez (copias ilegales de programas comerciales), etc. Conseguir un servidor de FTP anónimo seguro puede llegar a ser una tarea complicada. FTP INVITADO: El otro tipo de acceso FTP es el denominado invitado (guest). La idea de este mecanismo es muy sencilla: se trata de permitir que cada usuario conecte a la máquina mediante su login y su contraseña, pero evitando que tenga acceso a partes del sistema de archivos que no necesita para realizar su trabajo; se conectará a un entorno restringido de forma similar a lo que sucede en los accesos anónimos. TELNET: El protocolo TELNET (TCP, puerto 23) permite utilizar una máquina como terminal virtual de otra a través de la red, de forma que se crea un canal virtual de comunicaciones similar (pero mucho más inseguro) a utilizar una terminal físicamente conectada a un servidor. SMTP: La mala configuración del servicio SMTP (puerto 25 en TCP) utilizado para transferir correo electrónico entre equipos remotos; suele ser causante del Mail Bombing y el Spam redirigido. Ver Glosario 79

98 Por lo general se recibirá correo de un número indeterminado de máquinas, y no se podrá bloquear el acceso a SMTP. No obstante, en este caso podemos aplicar unas medidas de seguridad simples, como realizar una consulta inversa a DNS para asegurarnos de que sólo máquinas registradas envían correo o no permitir que el sistema reenvíe correo que no provenga de direcciones registradas bajo su dominio Protocolos En la actualidad contamos con muchos protocolos de comunicación comerciales con los cuales muchas veces aun sin darnos cuenta, los utilizamos y nos ayudan a hacer tareas como lo son el: Internet, una transferencia por módem o una simple comunicación a un servicio en línea inteligente de algún banco, pero para otros son herramientas para hacer delitos. A continuación se mencionan varios de estos protocolos, ya que son los más importantes y comerciales hoy día: FTP POP3 HTTP SCP IPX/SPX TCP/IP NFS Estos protocolos realizan funciones sencillas como la capacidad de solicitar una conexión entre dos ordenadores y en donde estos pueden dar lugar a aberturas que son culpables de aproximadamente un 15% de los ataques que se registran cada año, según la organización IETF (Internet Engineering Task Force). Esto se debe a que el protocolo TCP/IP no ha cambiado mucho desde los días en que fue aceptado como el protocolo de transporte de la red Arpanet. El protocolo IP (Internet Protocol) fue creado originalmente por una comunidad de personas muy unidas entre sí, con un grado importante de confianza interna entre ellos. Las aplicaciones IP asumen implícitamente que deben confiar en las personas. Los ataques de denegación de servicio y el robo de datos utilizan funciones del protocolo TCP/IP y pueden impedirse utilizando funciones de seguridad que es posible establecer en la mayoría de los sistemas operativos de servidores, filtros incorporados en routers o una nueva versión de IP (IPV6) que es un estándar para el protocolo IPSec de infraestructura de clave pública (PKI). Sin embargo, con frecuencia no se utilizan estas medidas de seguridad. 80

99 Los ataques tradicionales contra TCP/IP son de dos clases: denegación de servicio y robo de datos, pero existen docenas de tipos de ataques contra TCP/IP que pueden resultar tremendamente devastadores. Por ejemplo: Ataques Smurf Manipulación de ruta de origen Desbordamientos SYN Bloqueo y filtrado Puertos Un puerto se representa por un valor de 16 bits que indica al servidor a cual servicio se le está haciendo una petición. Por convención, los puertos se encuentran divididos en tres rangos: Del 0 al 1023: Puertos denominados Well Known. Su uso por convención requiere de privilegios de Superusuario. Del 1024 al 49151: Registrados y asignados dinámicamente. Del 49152al 65535: Puertos privados. En la Tabla No. 26 Descripción de Puertos de Red que se muestra a continuación presenta un listado de los puertos más utilizados y predeterminados: PUERTOS DE RED 21 FTP Control Transferencia de Archivos 22 SSH Servicio Remoto Vía SSL 23 TELNET Servicio Remoto 25 SMTP Envió de Mails 53 DNS Servicio de Nombres de Dominios 79 FINGER Información de Usuarios 80 WWW-http World Wide Web 110 POCP3 Recepción de Mail 137 NETBIOS Intercambio de datos en red 443 HTTPS http seguro via SSL 779 KERBEROS 5432 POSTGRESQL Bases de Datos Tabla No.26 Descripción de Puertos de Red Ver Glosario 81

100 Escaneo de Puertos El Escaneo de Puertos, es una de las más populares técnicas utilizadas para descubrir y mapear servicios que están escuchando en un puerto determinado. Usando este método, un atacante puede crear una lista de las debilidades potenciales y vulnerabilidades en un puerto, para dirigirse a la explotación del mismo y comprometer el host remoto. Una de las primeras etapas en la penetración/auditoria de un host remoto, es en primera instancia componer una lista de los puertos abiertos utilizando una o más de las técnicas descritas adelante, los resultados ayudan al atacante a identificar los servicios que están corriendo en ese puerto, utilizando una lista de puertos que cumplen con el RFC (la función /etc/services en UNIX, getservbyport( ) automáticamente hace esto), permitiendo comprometer el host remoto en la etapa de descubrimiento inicial. Algunos tipos de escaneo (tomado de la revista HackXCrack) son: TCP Connect ( ): Esta técnica es rápida y simple pero tiene una desventaja importante, avisa al host remoto del escaneo y por lo tanto es fácilmente detectado, además de ser logeado y filtrado; se basa en intentar establecer una conexión con el puerto objetivo mediante el comando Connect ( ), si es aceptado, entonces se sabrá que ese puerto está abierto. TCP SYN( ): Es una escaneo en el que no se establece una conexión completa, solo se envía el SYN y en función de la respuesta del host remoto se contesta con un RST, es decir, se aborta la conexión en caso de que este abierto el puerto escaneado; también puede ocurrir que al enviar un paquete TCP con el bit SYN, no se reciba respuesta alguna por parte del host remoto, ya sea por que el host está apagado, desconectado de la red o porque ese puerto está siendo filtrado; a este tipo de escaneo se le conoce como medio abierto o como SYN stealth. Stealth scan (TCP FIN): Se basa en enviar el paquete TCP, con el bit FIN y esperar la respuesta del host remoto, una de las principales características de este tipo de escaneo es que son ocultos o sigilosos; si se ignoran los paquetes enviados entonces es señal de que el puerto del host remoto está abierto. Reverse Ident (TCP): Se efectúa un escaneo normal de TCP, pero se debe poner atención en el resultado que arroje el puerto 113, para saber quién es dueño de los servicios que corren en el host remoto. Ping Scan: Se explica por sí mismo, la única intención de utilizar este tipo de escaneo es saber que host que están conectados y activos en la red que se escanea. Bounce Attack: Es un escaneo vía FTP, en el cual se aprovecha la conexión Proxy TFP para llevar a cabo esta tarea a través de un servidor FTP, la sintaxis básica es indicar la IP y el puerto para solicitar la conexión de datos, en el caso en que este cerrado se mostrará un código de error

101 UDP Scan: Básicamente escanea todos los puertos abiertos sobre UDP, la principal desventaja de este tipo de técnica es que es demasiado lento, pero mejora su rendimiento sobre la plataforma Windows. ACK Scan: Se utiliza principalmente para saber si la conexión que se establece con el host remoto está protegida por un Firewall, que impida la transmisión de paquetes o si esta filtrando las peticiones de conexión. Xmas Scan: Tiene la característica de enviar paquetes anormales de TCP con todos los flags levantados, es decir, pone a uno el SYN, ACK, PSH, RST, URG y FIN. Idle Scan: Es una técnica muy potente y oculta para escaneado de redes, sin la necesidad de enviar algún paquete con la IP del host que haga la petición, para ello, se utilizan host zombies que hacen dicha petición enviando su IP. RPC Scan: Se basa en enviar comando NULL (SunRPC) a los puertos UDP o TCP que estén abiertos, con la finalidad de saber si son puertos RPC y muestra los programas y versiones que estén corriendo Servicios La aparición de la Red Digital de Servicios Integrados de Banda Ancha se explica por la existencia en su momento de una red de banda estrecha, que ofrece poca flexibilidad y poco ancho de banda, puesto que se tratan de caudales de tasa constante, sin posibilidad de variaciones de tráfico. Las necesidades actuales se dirigen hacia un gran ancho de banda, con dispositivos de conmutación y transporte rápidos, basados en canales de alta velocidad, que admita servicios orientados y no orientados a conexión, y comunicación punto apunto y multipunto. A continuación mencionan los servicios más comunes e importantes hoy día : TELNET IRS FTP FINGER HTTP 3.7 Métodos de Ataque a Equipos y Redes El auge de las redes de computadoras y en especial de Internet, ha ocasionado un incremento muy notable en los ataques a equipos y redes, tanto en cantidad como en variedad algunos aspectos por los que esto ha sucedido son: La facilidad de automatizar los ataques. La facilidad para realizar ataques remotos. La velocidad de propagación de los ataques y de sus métodos. 83

102 3.7.1 Sniffing Que consisten en escuchar los datos que atraviesan la red sin interferir con la conexión a la que corresponden, principalmente para obtener passwords, y/o información confidencial. Protección: Basta con emplear mecanismos de autenticación y encriptación, red conmutada Barrido de Puertos Utilizado para la detección de servicios abiertos en máquina tanto TCP como UDP (por ejemplo un telnet que no esté en el puerto 23). Protección: Filtrado de puertos permitidos y gestión de logs y alarmas Bug de fragmentación de paquetes IP Con longitudes ilegales (más pequeñas o más grandes) de fragmentos, con solape entre ellos o saturación con multitud de fragmentos pequeños (ej. ping de la muerte). Protección: Actualmente en los routers se limita el tráfico ICMP, incluso se analiza la secuencia de fragmentación, o bien parchear el sistema operativo Explotar bugs del software Aprovechan errores del software, ya que a la mayor parte del software se le ha añadido la seguridad demasiado tarde, cuando ya no era posible rediseñarlo todo y con ello puede adquirir privilegios en la ejecución, por ejemplo buffers overflow (BOF o desbordamiento de pila 24 ) Además, muchos programas corren con demasiados privilegios. La cadena o secuencia de órdenes para explotar esta vulnerabilidad del software se conoce como exploit. Ataque: Los hackers se hacen con una copia del software a explotar y lo someten a una batería de pruebas para detectar alguna debilidad que puedan aprovechar. Protección: Correcta programación o incluir parches actualizando los servicios instalados. 24 Desbordamiento de pila: sobre la entrada de datos en un programa privilegiado que no verifica la longitud de los argumentos a una función, y se sobreescribe la pila de ejecución modificando la dirección de retorno (para que salte donde nos interese). 84

103 3.7.5 Caballo de Troya Un programa que se enmascara como algo que no es, normalmente con el propósito de conseguir acceso a una cuenta o ejecutar comandos con los privilegios de otro usuario. Ataque: el atacante por ejemplo sabotea algún paquete de instalación o saboteando una máquina, modifica las aplicaciones, p.ej ls, ps, etc Protección: Revisión periódica de compendios, firma digital, comprobación del sistema de ficheros (ejemplo aplicación tripware ), etc Ataques dirigidos por datos Son ataques que tienen lugar en modo diferido, sin la participación activa por parte del atacante en el momento en el que se producen. El atacante se limita a hacer llegar a la víctima una serie de datos que al ser interpretados ejecutarán el ataque propiamente dicho, como por ejemplo un virus a través del correo electrónico o código JavaScript maligno. Protección: Firma digital e información al usuario (lecturas off-line, o en otro servidor o instalar antivirus en el servidor de correo) Denegación de servicios Estos ataques no buscan ninguna información si no a impedir que sus usuarios legítimos puedan usarlas. Ejemplos: SYN Flooding, realizando un número excesivo de conexiones a un puerto determinado, bloqueando dicho puerto. Un caso particular de este método es la generación masiva de conexiones a servidores http o ftp, a veces con dirección origen inexistente para que no pueda realizar un RST. Protección: En el servidor aumentar el límite de conexiones simultáneas, acelerar el proceso de desconexión tras inicio de sesión medio-abierta, limitar desde un cortafuegos el número de conexiones medio abiertas mail bombing, envio masivo de correos para saturar al servidor SMTP y su memoria. Protección: Similar a SYN Flooding pings (o envío de paquetes UDP al puerto 7 de echo) a direcciones broadcast con dirección origen la máquina atacada. Estas técnicas son conocidas como Smurf (si pings), Fraggle (si UDP echo). Protección: Parchear el sistema operativo para que no realice pings broadcasts y que límite el procesado de paquetes ICMP en una red stub con conexión WAN al exterior lenta, agotar el ancho de banda del enlace, haciendo generar tráfico innecesario. Protección: Fijar QoS en el enlace. 85

104 3.7.8 Ingeniería Social Son ataques que aprovechan la buena voluntad de los usuarios de los sistemas atacados. Un ejemplo de ataque de este tipo es el siguiente: se envía un correo con el remite "root" a un usuario con el mensaje "por favor, cambie su password a informática". El atacante entonces entra con ese password. A partir de ahí puede emplear otras técnicas de ataque. O incitando a ver determinadas páginas web, descargar fotos etc. Protección: Educar a los usuarios acerca de qué tareas no deben realizar jamás, y qué información no deben suministrar a nadie, salvo al administrador en persona Acceso físico A los recursos del sistema y pudiendo entrar en consola, adquirir información escrita, etc. Protección: Políticas de seguridad, dejar servidores bajo llave y guardia de seguridad, tal como se vigila alguna cosa de valor Adivinación de passwords La mala elección de passwords por parte de los usuarios permiten que sean fáciles de adivinar o bien que el propio sistema operativo tenga passwords por defecto. Ejemplo: muchos administradores utilizan de password administrador ) Protección: políticas de seguridad Spoofing Intento del atacante por ganar el acceso a un sistema haciéndose pasar por otro, ejecutado en varios niveles, tanto a nivel MAC como a nivel IP: ARP Spoofing (que una IP suplantada tenga asociada la MAC del atacante). Ataque: El atacante falsifica paquetes ARP indicando gratuitamente su MAC con la IP de la máquina suplantada. Los hosts y los switches que escuchan estos mensajes cambiarán su tabla ARP apuntando al atacante. IP Spoofing (suplanta la IP del atacante). Ataque: el atacante debe de estar en la misma LAN que el suplantado, y modifica su IP en combinación con ARP spoofing, o simplemente sniffea todo el tráfico en modo promiscuo. 86

105 DNS Spoofing (el nombre del suplantado tenga la IP del atacante ), donde el intruso se hace pasar por un DNS. Ataque: El atacante puede entregar o bien información modificada al host, o bien engañar al DNS local para que registre información en su cache. Protección ante Spoofing: Introducir autenticación y cifrado de las conexiones para ARP e IP Spoofing. Aunque la intrusión se realice en capa 2 ó 3 se puede detectar en capa 7. En el caso de ARP, configurar que el host o switch aprenda MAC s sólo de paquetes ARP unicast. Para DNS Spoofing, utilizar certificados para comprobar fidedignamente la identidad del servidor Hijacking Consiste en robar una conexión después de que el usuario (a suplantar) ha superado con éxito el proceso de identificación ante el sistema remoto. Para ello el intruso debe sniffear algún paquete de la conexión y averiguar las direcciones IP, los ISN y los puertos utilizados. Además para realizar dicho ataque, el atacante deberá utilizar la IP de la máquina suplantada. Ataque: En un momento determinado, el intruso se adelanta una respuesta en la conexión TCP (con los ISN correctos, lo cual lo obtiene por sniffing) y por tanto el que estaba conectado no cumple con los ISN debido a que el intruso mandó información válida y queda excluido de la conexión (su conexión TCP aparente se ha colgado), tomando el control el intruso. Otra acción adicional, sería inutilizar al suplantado con una ataque DoS. Protección: uso de encriptación o uso de una red conmutada. Enrutamiento fuente: los paquetes IP admiten opcionalmente el enrutamiento fuente, con el que la persona que inicia la conexión TCP puede especificar una ruta explícita hacia él. La máquina destino debe usar la inversa de esa ruta como ruta de retorno, tenga o no sentido, lo que significa que un atacante puede hacerse pasar (spoofing) por cualquier máquina en la que el destino confíe (obligando a que la ruta hacia la máquina real pase por la del atacante). Protección: dado que el enrutamiento fuente es raramente usado, la forma más fácil de defenderse contra ésto es deshabilitar dicha opción en el router. ICMP Redirect: Con la opción redirect, alguien puede alterar la ruta a un destino para que las conexiones en las que esté interesado pasen por el atacante, de forma que pueda intervenirlas. Los mensajes redirect deben obedecerlos sólo los hosts, no los routers, y sólo cuando estos provengan de un router de una red directamente conectada. Protección: filtrado de paquetes. 87

106 Modificación de los protocolos de routing RIP, BGP, etc. de forma que redirecciona la información por otras rutas del atacante. Esta técnica es poco habitual y compleja. Protección: utilizar rutas estáticas o protocolos de routing con encriptación Bombing y Spamming El bombing consiste en enviar muchas veces un mensaje idéntico a una misma dirección, saturando el mailbox del destinatario. El spamming que es una variante del bombing, se refiere a enviar el a centenares o millares de usuarios e, inclusive, a listas de interés. El Spamming puede resultar aún más perjudicial si los destinatarios contestan el mail, haciendo que todos reciban la respuesta. Puede, además, ocurrir inocentemente como resultado de enviar un mensaje a la lista y no darse cuenta de que la lista lo distribuye a millares de usuarios, o como resultado de mala configuración de un autorespondedor, por ejemplo el vacation. El bombing/spamming se puede combinar con el spoofing que altera la identidad de la cuenta que envía el mail -, logrando que sea más difícil determinar quién está enviando realmente el mail Ataques para la obtención de Información sobre posibles objetivos de otros ataques Para la obtención de este tipo de información se puede usar: La Ingeniería social (aprovechar a las personas). Técnicas informáticas. Las primeras sólo se pueden evitar eficazmente con una buena formación de los usuarios existe una gran variedad de técnicas informáticas para obtener información sobre posibles objetivos de ataques, que dependen bastante de cada caso: Comandos como ping, para detectar máquinas. Escaneo de puertos abiertos con herramientas como nmap. Comando como finger para detectar cuentas de usuario. Sniffers para la captura y el análisis del tráfico en la red. 88

107 Este tipo de herramientas deben estar prohibidas o limitadas de alguna manera en las redes seguras Ataques para la obtención de Información debidos a una mala administración Aquí podemos referirnos a multitud de defectos de administración en los sistemas y aplicaciones, que pueden ocasionar diferentes tipos de ataques: Captura de login y password mal almacenados o transmitidos, o mal elegidos. Ataques por errores en las relaciones de confianza de usuarios. Acceso a información almacenada en un disco compartido por diversos usuarios. Ataques por mala configuración de protocolos. Mala administración de los filtros de paquetes, que permiten la suplantación (spoofing). Mala administración o falta de antivirus. Mala administración o ausencia de detectores de vulnerabilidad Ataques para la obtención de Información debido a vulnerabilidades de software Podemos distinguir los siguientes tipos principales: Debidos al mal diseño de protocolos. Por ejemplo, TFTP, SMTP, DNS. Debidos a defectos de aplicaciones. Por ejemplo, Código activo. Debidos a la mala implementación de protocolos y aplicaciones. Por ejemplo, buffer overflows, puertas traseras. Ataques de denegación de servicio: Estos ataques son muy dañinos no buscan acceder a ninguna información, sino impedir que los usuarios legítimos puedan acceder a la misma normalmente, para ello sobrecargan el servidor que presta el servicio a los usuarios del mismo. Podemos hablar de los siguientes tipos: Debidos a particularidades de los protocolos. Por ejemplo, problemas con ICMP y el ping Debidos a malas implementaciones de las aplicaciones. Por ejemplo, los errores de implementación de ping en Windows NT. Debidos a problemas de los protocolos. Por ejemplo, SYN flood. Ataques distribuidos. Por ejemplo, tribe flood network. 89

108 (...) ladrón, trabajaba para otros: ladrones más adinerados, patrones que proveían el exótico software requerido para atravesar los muros brillantes de los sistemas empresariales, abriendo ventanas hacia los ricos campos de la información. Cometió el clásico error, el que había jurado no cometer nunca. Robo a sus jefes. Neuromante El objetivo de este capítulo es abordar temas de Legislación en Informática que nos ayuden a detectar los delitos informáticos en materia de legislación en Redes de Datos así como también ver su penalidad que estos mismos tienen en cuanto sucede un ataques informáticos dentro de las organizaciones y así daremos pie a hablar de las mejores prácticas el cómo se deben analizar los riesgos dentro de una organización conocido como: El debe de Y finalmente hablaremos de las tecnologías que hoy por hoy existen en el mercado para la detección de vulnerabilidades, amenazas y riesgos en las Redes de Datos dentro de las Organizaciones para facilitar su estudio.

109 4.1 INTRODUCCIÓN En el presente capítulo, se citan temas importantes para el desglose de esta Tesis como lo es hablar de Legislación Informática en donde se habla de los aspectos a nivel internacional y nacional que se deben tomar en cuenta cuando se comete un delito informático y como debe ser castigado, se expone también en el Anexo I Legislación Informática, la Legislación existente en México. Por otra parte se aborda el tema de mejores prácticas y metodologías aceptadas ampliamente que ayudan a comprender de manera acertada la realización del análisis de vulnerabilidades de la seguridad en redes, en donde se especifican algunos controles, objetivos y políticas que son aplicables; en primer lugar se muestra COBIT, en donde plantea algunos objetivos de alto nivel que tiene la necesidad de ser evaluados de seguridad en redes o similares para cumplir con el estándar. También, se citan algunos puntos de control que requieren de análisis para verificar su correcto funcionamiento, por ejemplo, el DS5 para evaluar los controles de acceso lógicos implantados. La siguiente mejor práctica es ISACA ya que es la Asociación de Control y Auditoria en Sistemas de Información que se encarga de dar a conocer las mejores prácticas de auditoría en este caso en particular de Seguridad en Redes. La dependencia tecnológica de las organizaciones e individuos para la realización de sus actividades, traducida en el uso generalizado de Internet y sus servicios, sistemas de información, computadoras portátiles, de escritorio, las agendas electrónicas y las tecnologías inalámbricas, han hecho que el acceso a datos e información sea más fácil que nunca antes. Lo que desde otra perspectiva ha generado nuevas oportunidades para el surgimiento de problemas relacionados con la tecnología tales como el robo de datos, los ataques maliciosos mediante virus, el hackeo a los equipos de cómputo y redes de telecomunicaciones y los ataques de negación de servicios, entre otros, que en particular y en conjunto constituyen los riesgos de esta evolución. Las fallas de seguridad pueden ser costosas para la organización, las pérdidas pueden ocurrir como resultado de la falla misma o pueden derivarse de la recuperación del incidente, seguidos por más costos para asegurar los sistemas y prevenir fallas. 91

110 La información es un activo para las organizaciones y bajo esta premisa, la Seguridad de la Información asume que es necesario protegerla, teniendo como objetivos los siguientes: Acceso y uso de los sistemas de información cuando se les requiera, capaces de resistir intrusiones y recuperarse de fallas (disponibilidad). Utilización y difusión solo entre y por aquellos que tienen derecho de hacerlo (confidencialidad). Protección contra modificaciones no autorizadas, errores e inexactitudes (integridad). Intercambio de información y transacciones entre organizaciones e individuos es confiable (autenticación y no repudio). Cualquier esfuerzo encaminado a obtener una administración de la Seguridad de la Información comienza con un fuerte compromiso de la Dirección de la organización. Una dirección inteligente comprende que las operaciones y transacciones seguras se traducen en mayor productividad, al evitar pérdidas y reforzar ventajas competitivas. Las orientaciones, políticas y procedimientos de seguridad afectan a toda la organización y, como tal, deben tener el soporte y la participación de los usuarios finales, la dirección, el personal de informática y del área legal. Por lo tanto, las personas que representan a diferentes niveles de toma de decisión deben reunirse a discutir estos problemas para establecer y aprobar las prácticas de seguridad. Así como también la norma ISO 27001, identifica etapas y controles que se deberán apoyar en estas pruebas para el análisis de la seguridad en la red y así lograr el objetivo establecido por la norma. De esta forma la norma ISO/IEC es un estándar internacional que ofrece recomendaciones para realizar la gestión de la seguridad de la información dirigidas a los responsables de iniciar, implantar o mantener la seguridad de una organización. ISO define la información como un activo que posee valor para la organización y requiere por tanto de una protección adecuada. El objetivo de la seguridad de la información es proteger adecuadamente este activo para asegurar la continuidad del negocio, minimizar los daños a la organización y maximizar el retorno de las inversiones y las oportunidades de negocio. ITIL por su parte es una metodología que propone el establecimiento de estándares que nos ayuden en el control, operación y administración de los recursos (ya sean propios o de los clientes). Plantea hacer una revisión y reestructuración de los procesos existentes en caso de que estos lo necesiten (si el nivel de eficiencia es bajo o que haya una forma mas eficiente de hacer las cosas), lo que nos lleva a una mejora continua. 92

111 En donde algunos de los principales beneficios son. Dado que el enfoque ITIL propone un índice de referencia de las mejores prácticas, los beneficios de implementación observados son: Satisfacción del usuario (empleado y cliente) Clarificación de roles Mejora de la comunicación entre departamentos Control de procesos con indicadores relevantes y mensurables, que se pueden usar para identificar las herramientas de ahorro Competitividad mejorada Seguridad incrementada (disponibilidad, confiabilidad, integridad) Capitalización de datos de la compañía Uso de recursos optimizado Herramienta de comparación y posicionamiento frente a la competencia La siguiente mejor práctica a tratar es el Orange Book, donde se abordan las pruebas que se aplican a cada clasificación de nivel de confianza establecido por el libro, para determinar la correcta ubicación de los sistemas en las clases C1, C2, B1,B2,B3 y A1; respecto a una de las metodologías principalmente empleadas en el ámbito de las pruebas de intrusión, es el llamado Manual de la Metodología Abierta de Testeo de Seguridad (OSSTMM), en la cual se describen los puntos que se deben de cubrir al realizar las pruebas de seguridad, así como los objetivos que se deben alcanzar al termino de cada etapa de la metodología, así mismo se mencionan algunas técnicas a emplear para llevar acabo el testeo y así cumplir con el objetivo de cada etapa de la metodología. También se describen las soluciones de protección para una Red de Datos ya después de haber analizado todas las mejores prácticas existentes para Redes de Datos será más fácil poder ejercer una solución más clara y precisa, para dar pie a ello también se adapta la temática de las herramientas de las cuales se hará uso para el análisis de riesgos de las vulnerabilidades en las Redes de Datos. 4.2 Legislación Informática En las diversas actividades que se llevan a cabo en México se han integrado medios tecnológicos como forma de conseguir los objetivos particulares, la herramienta que sin duda destaca por su uso es la comunicación remota a través de redes informáticas, en primer plano Internet, este medio 93

112 ha sido adoptado por instituciones gubernamentales, educativas, de salud, culturales, políticas, industriales y principalmente comerciales para desempeñar funciones sustantivas y no sustantivas. Con relación a la protección que se ofrece a los usuarios por daño o perjuicio en el uso de tecnología informática, entre los aspectos que se tienen contemplados en la legislación Mexicana se encuentran los siguientes: Piratería de Software y su documentación cuyos derechos de autor estén reconocidos. Marcas, nombres comerciales, patentes y secretos industriales. Regulación de comunicaciones. Sin embargo, es importante señalar aquellos aspectos que no son contemplados de manera expresa en la actual legislación nacional y que por naturaleza de la actividad informática es imperioso que sean integradas, entre ellos: Tipificación de delitos informáticos. Derechos a la confidencialidad de información personal que se encuentra almacenada en bases de datos públicas o privadas. Protección de datos catalogados como confidencial o estratégico. Valor de documentos electrónicos en procesos administrativos judiciales. 4.3 Delitos Informáticos Al mismo tiempo que Internet supuso un increíble avance en el complejo universo de las tecnologías, también se configuro como un nuevo instrumento y un medio para la comisión de delitos, singularmente estafas y fraudes. Igualmente trajo consigo la vulneración de los sistemas de seguridad y la invasión en la intimidad de las personas (acceso a bases de datos, intromisiones ilegitimas en las cuentas de correo, etc.) Existen multitud de amenazas y ataques que se los pueden clasificar en: Ataques Pasivos: El atacante no altera la comunicación, sino unicamente la escucha o monitoriza, para obtener información que esta siendo transmitida. Sus objetivos son la interceptacion de datos y el análisis de tráfico que generalmente se emplean para: 1) Obtención del origen destinatario de la comunicación, a través de la lectura de las cabeceras de los paquetes monitorizados. 2) Control del volumen de tráfico intercambiado entre las entidades monitorizadas, obteniendo asi información acerca de actividad o inactividad inusuales. 94

113 3) Control del las horas habituales de intercambio de datos entre las entidades de la comunicación, para extraer información acerca de periodos de la actividad. Es posible evitar el éxito, si bien no el ataque, mediante el cifrado de la información y otros mecanismos. Ataques Activos: Estos ataques implican algún tipo de modificación del flujo de datos transmitido o la creación de un falso flujo de datos. Generalmente son realizados por hackers, piratas informáticos o intrusos remunerados y se los puede subdividir en cuatro categorías: Interrupción: si hace que un objeto del sistema se pierda, quede inutilizable o no disponible. Intercepción: si un elemento no autorizado consigue el acceso a un determinado objeto del sistema. Modificación: si además de conseguir el acceso consigue modificar el objeto. Fabricación: se consigue un objeto similar al original atacado de forma que es difícil distinguirlos entre sí. Destrucción: es una modificación que inutiliza el objeto. En múltiples ocasiones, los delitos son cometidos por auténticos especialistas, los llamados "piratas informáticos". Según sus objetivos, podemos clasificarlos en dos tipos, por un lado, los hackers, aquellos intrusos que acceden a los equipos de los usuarios con la sola intención de demostrar sus habilidades; generalmente no es su intención dañar los sistemas informáticos de los usuarios, sino simplemente burlar los sistemas de seguridad de los mismos. Por otra parte y de forma opuesta a los anteriores, los crackers se introducen de forma ilegítima en los equipos con el fin, no sólo de acceder a la información que estos poseen, sino también con la intención de destruirla o de alterarla. Ambas conductas, tanto la del hacker como la del cracker, son consideradas delitos informáticos dado que suponen una intromisión ilegítima en sistemas y ordenadores ajenos. 95

114 4.3.1 Delitos informáticos definidos por la ONU La Organización de Naciones Unidas (ONU) reconoce los siguientes tipos de delitos informáticos: Fraudes cometidos mediante manipulación de computadoras o o o Manipulación de los datos de entrada, este tipo de fraude informático conocido también como sustracción de datos, representa el delito informático más común ya que es fácil de cometer y difícil de descubrir. La manipulación de programas, consiste en modificar los programas existentes en el sistema o en insertar nuevos programas o rutinas. Es muy difícil de descubrir y a menudo pasa inadvertido, ya que, el delincuente tiene conocimientos técnicos concretos de informática y programación. Fraude efectuado por manipulación informática, aprovecha las repeticiones automáticas de los procesos de cómputo. Es una técnica especializada, en que transacciones financieras, apenas perceptibles, van sacando repetidamente de una cuenta, dinero y transfieren a otra. Se basa en el principio de que 10,66 es igual a10,65 pasando 0,01 centavos a la cuenta del ladrón n veces. Manipulación de los datos de entrada o o o o o o Como objeto, cuando se alteran datos de los documentos almacenados en forma computarizada. Como instrumento, las computadoras pueden utilizarse también para efectuar falsificaciones de documentos de uso comercial. Daños o modificaciones de programas o datos computarizados Sabotaje informático, es el acto de borrar, suprimir o modificar sin autorización, funciones o datos de computadora con intención de obstaculizar el funcionamiento normal del sistema. Acceso no autorizado a servicios y sistemas informáticos, esto accesos se pueden realizar por diversos motivos, desde la simple curiosidad hasta el sabotaje o espionaje informático. Reproducción no autorizada de programas informáticos de protección legal, esta puede producir una pérdida económica sustancial para los propietarios legítimos. 96

115 Algunas jurisdicciones han tipificado como delito esta clase de actividad y la han sometido a sanciones penales. El problema ha alcanzado dimensiones transnacionales con el tráfico de esas reproducciones no autorizadas a través de las redes de telecomunicaciones modernas. Al respecto se considera, que la reproducción no autorizada de programas informáticos no es un delito informático debido a que el bien jurídico a tutelar es una propiedad intelectual. Adicionalmente a estos tipos de delitos reconocidos se les clasifica como: Fraude en el campo de la informática Falsificación en materia informática. Sabotaje informático y daños a datos computarizados o programas informáticos. Acceso no autorizado. Intercepción sin autorización. Reproducción no autorizada de un programa informático protegido. Espionaje informático. Uso no autorizado de una computadora. Tráfico de claves informáticas obtenidas por medio ilícito Legislacion Internacional Alemania En Alemania, para hacer frente a la delincuencia relacionada con la informática, el 15 de mayo de 1986 se adoptó la Segunda Ley contra la Criminalidad Económica. Esta ley reforma el Código Penal (art. 148 del 22 de diciembre de 1987) para contemplar los siguientes delitos: Espionaje de datos (202a). Estafa informática (263a). Falsificación de datos probatorios (269) junto a modificaciones complementarias del resto de falsedades documentales como el engaño en el tráfico jurídico mediante la elaboración de datos, falsedad ideológica, uso de documentos falsos (270, 271, 273). Alteración de datos (303a) es ilícito cancelar, inutilizar o alterar datos e inclusive la tentativa es punible. Sabotaje informático (303b). Destrucción de datos de especial significado por medio de deterioro, inutilización, eliminación o alteración de un sistema de datos. También es punible la tentativa. Utilización abusiva de cheques o tarjetas de crédito (266b). 97

116 Por lo que se refiere a la estafa informática, el perjuicio patrimonial que se comete consiste en influir en el resultado de una elaboración de datos por medio de una realización incorrecta del programa, a través de la utilización de datos incorrectos o incompletos, mediante la utilización no autorizada de datos o a través de una intervención ilícita. Esta solución fue también adoptada en los Países Escandinavos y en Austria. Austria Según la Ley de reforma del Código Penal del 22 de diciembre de 1987, se contemplan los siguientes delitos: Destrucción de datos (art. 126) no solo datos personales sino también los no personales y los programas. Estafa informática (art. 148) se sanciona a aquellos que con dolo causen un perjuicio patrimonial a un tercero influyendo en el resultado de una elaboración de datos automática a través de la confección del programa, por la introducción, cancelación o alteración de datos o por actuar sobre el procesamiento de datos. Además contempla sanciones para quienes cometen este hecho utilizando su profesión. Chile Chile fue el primer país latinoamericano en sancionar una Ley contra Delitos Informáticos. La ley publicada en el Diario Oficial (equivalente del Boletín Oficialargentino) el 7 de junio de 1993 señala que la destrucción o inutilización de un sistema de tratamiento de información puede ser castigado con prisión de un año y medio a cinco. Como no se estipula la condición de acceder a ese sistema, puede encuadrarse a los autores de virus. Si esa acción afectara los datos contenidos en el sistema, la prisión se establecería entre los tres y los cinco años. El hacking, definido como el ingreso en un sistema o su interferencia con el ánimo de apoderarse, usar o conocer de manera indebida la información contenida en éste, también es pasible de condenas de hasta cinco años de cárcel; pero ingresar en ese mismo sistema sin permiso y sin intenciones de ver su contenido no constituye delito. 98

117 Dar a conocer la información almacenada en un sistema puede ser castigado con prisión de hasta tres años, pero si el que lo hace es el responsable de dicho sistema puede aumentar a cinco años. Esta ley es muy similar a la inglesa aunque agrega la protección a lainformación privada. China El Tribunal Supremo Chino castigará con la pena de muerte el espionaje desde Internet, según se anunció el 23 de enero de Todas las personas implicadas en actividades de espionaje, es decir que roben, descubran, compren o divulguen secretos de Estado desde la red podrán ser condenadas con penas que van de diez años de prisión hasta la muerte. La corte determina que hay tres tipos de actividades donde la vigilancia será extrema: secretos de alta seguridad, los secretos estatales y aquella información que dañe seriamente la seguridad estatal y sus intereses. Se consideran actividades ilegales la infiltración de documentos relacionados con el Estado, la defensa, las tecnologías de punta, o la difusión de virus informático. El Tribunal ha hecho especial énfasis al apartado del espionaje desde la red. A los llamados criminales, además de tener asegurada una severa condena (la muerte), también se les puede... confiscar los bienes!. España Este país quizás sea el que mayor experiencia ha obtenido en casos de delitos informáticos, en Europa. Su actual Ley Orgánica de Protección de Datos de Carácter Personal (LOPDCP) aprobada el 15 de diciembre de 1999, la cual reemplaza una veintena de leyes anteriores de la misma índole, contempla la mayor cantidad de acciones lesivas sobre la información. 99

118 Se sanciona en forma detallada la obtención o violación de secretos, el espionaje, la divulgación de datos privados, las estafas electrónicas, el hacking maligno o militar, el phreacking, la introducción de virus, etc.; aplicando pena de prisión y multa, agravándolas cuando existe una intención dolosa o cuando el hecho es cometido por parte de funcionarios públicos. Así mismo su nuevo Código Penal establece castigos de prisión y multas a quien por cualquier medio destruya, altere, inutilice o de cualquier otro modo dañe los datos, programas o documentos electrónicos ajenos contenidos en redes, soportes o sistemas informáticos. Estados Unidos de America El primer abuso de una computadora se registró en 1958 mientras que recién en 1966 se llevó adelante el primer proceso por la alteración de datos de un banco de Mineapolis. En la primera mitad de la década del 70, mientras los especialistas y criminólogos discutían si el delito informático era el resultado de una nueva tecnología o un tema específico, los ataques computacionales se hicieron más frecuentes. Para acelerar las comunicaciones, enlazar compañías, centros de investigación y transferir datos, las redes debían (y deben) ser accesibles, por eso el Pentágono, la OTAN, las universidades, la NASA, los laboratorios industriales y militares se convirtieron en el blanco de los intrusos. Pero en 1976 dos hechos marcaron un punto de inflexión en el tratamiento policial de los casos: el FBI dictó un curso de entrenamiento para sus agentes acerca de delitos informáticos y el Comité de Asuntos del Gobierno de la Cámara presentó dos informes que dieron lugar a la Ley Federal de Protección de Sistemas de 1985 Esta ley fue la base para que Florida, Michigan, Colorado, Rhode Island y Arizona se constituyeran en los primeros estados con legislación específica, anticipándose un año al dictado de la Computer Fraud y Abuse Act de Este se refiere en su mayor parte a delitos de abuso o fraude contra casas financieras, registros médicos, computadoras de instituciones financieras o involucradas en delitos interestatales. También especifica penas para el tráfico de claves con intención de cometer fraude y declara ilegal el uso de passwords ajenas o propias en forma inadecuada. Pero sólo es aplicable en casos en los que se verifiquen daños cuyo valor supere el mínimo de mil dólares. 100

119 En 1994 se adoptó el Acta Federal de Abuso Computacional (18 U.S.C. Sec 1030), modificando el Acta de Aquí se contempla la regulación de los virus (computer contaminant) conceptualizándolos aunque no los limita a los comúnmente llamados virus o gusanos sino que contempla a otras instrucciones designadas a contaminar otros grupos de programas o bases de datos. Modificar, destruir, copiar, transmitir datos o alterar la operación normal de las computadoras, los sistemas o las redes informáticas es considerado delito. Así, esta ley es un acercamiento real al problema, alejado de argumentos técnicos para dar cabida a una nueva era de ataques tecnológicos. El FCIC (Federal Computers Investigation Commitee), es la organización más importante e influyente en lo referente a delitos computacionales: los investigadores estatales y locales, los agentes federales, abogados, auditores financieros, programadores de seguridad y policías de la calle trabajan allí comunitariamente. El FCIC es la entrenadora del resto de las fuerzas policiales en cuanto a delitos informáticos, y el primer organismo establecido en el nivel nacional. Además existe la Asociación Internacional de Especialistas en Investigación Computacional (IACIS), quien investiga nuevas técnicas para dividir un sistema en sus partes sin destruir las evidencias. Sus integrantes son forenses de las computadoras y trabajan, además de los Estados Unidos, en el Canadá, Taiwán e Irlanda. Francia Aquí, la Ley 88/19 del 5 de enero de 1988 sobre el fraude informático contempla: Acceso fraudulento a un sistema de elaboración de datos. Se sanciona tanto el acceso al sistema como al que se mantenga en él y aumenta la sanción si de ese acceso resulta la supresión o modificación de los datos contenidos en el sistema o resulta la alteración del funcionamiento del sistema. Sabotaje Informático. Falsear el funcionamiento de un sistema de tratamiento automático de datos. Destrucción de datos. Se sanciona a quien intencionalmente y con menosprecio de los derechos de los demás introduzca datos en un sistema de tratamiento automático de datos, suprima o modifique los datos que este contiene o los modos de tratamiento o de transmisión. Falsificación de documentos informatizados. Se sanciona a quien de cualquier modo falsifique documentos informatizados con intención de causar un perjuicio a otro. 101

120 Holanda Hasta el día 1 de marzo de 1993, día en que entró en vigencia la Ley de Delitos Informáticos, Holanda era un paraíso para los hackers. Esta ley contempla con artículos específicos sobre técnicas de Hacking y Phreacking. El hecho de entrar en una computadora en la cual no se tiene acceso legal ya es delito y puede ser castigado hasta con seis meses de cárcel. Si se usó esa computadora hackeada para acceder a otra, la pena sube a cuatro años aunque el crimen, a simple vista, no parece ser peor que el anterior. Copiar archivos de la máquina hackeada o procesar datos en ella también conlleva un castigo de cuatro años en la cárcel. Publicar la información obtenida es ilegal si son datos que debían permanecer en secreto, pero si son de interés público es legal. El daño a la información o a un sistema de comunicaciones puede ser castigado con cárcel de seis meses a quince años, aunque el máximo está reservado para quienes causaron la muerte de alguien con su accionar. Cambiar, agregar o borrar datos puede ser penalizado hasta con dos años de prisión pero, si se hizo vía remota aumenta a cuatro. Los virus están considerados de manera especial en la ley. Si se distribuyen con la intención de causar problemas, el castigo puede llegar hasta los cuatro años de cárcel; si simplemente se escapó, la pena no superará el mes. El usar el servicio telefónico mediante un truco técnico (Phreacking) o pasando señales falsas con el objetivo de no pagarlo puede recibir hasta tres años de prisión. La venta de elementos que permitan el Phreaking se castiga con un año de prisión como tope y si ese comercio es el modo de ganarse la vida del infractor, el máximo aumenta a tres. La ingeniería social también es castigada con hasta tres años de cárcel. Recibir datos del aire es legal (transmisiones satelitales), siempre y cuando no haga falta un esfuerzo especial para conseguirlos; la declaración protege datos encriptados, como los de ciertos canales de televisión satelital. Falsificar tarjetas de crédito de banca electrónica y usarlas para obtener beneficios o como si fueran las originales está penado con hasta seis años. 102

121 Inglaterra Luego de varios casos de hacking surgieron nuevas leyes sobre delitos informáticos. En agosto de 1990 comenzó a regir la Computer Misuse Act (Ley de Abusos Informáticos) por la cual cualquier intento, exitoso o no de alterar datos informáticos con intención criminal se castiga con hasta cinco años de cárcel o multas sin límite. El acceso ilegal a una computadora contempla hasta seis meses de prisión o multa de hasta dos mil libras esterlinas. El acta se puede considerar dividida en tres partes: hackear (ingresar sin permiso en una computadora), hacer algo con la computadora hackeada y realizar alguna modificación no autorizada. El último apartado se refiere tanto al hacking (por ejemplo, la modificación de un programa para instalar un backdoor), la infección con virus o, yendo al extremo, a la destrucción de datos como la inhabilitación del funcionamiento de la computadora Legislación Nacional El Derecho surge como un medio efectivo para regular la conducta del hombre en sociedad, pero la sociedad no es la misma en cada uno de los lugares del planeta ni es la misma en cada momento de la historia. El Derecho regula la conducta y los fenomenos sociales a través de las leyes. El proceso de creacion de las leyes es largo y lento, sobre todo en el Sistema Juridico Latino. En los ultimos años, las Tecnologias de la Informacion y la Comunicación han revolucionado la vida social en numerosos aspectos: cientificos, comerciales, laborales, profesionales, escolares, etc.la Tecnologia avanza a una velocidad vertiginosa y el Derecho en especial, el Derecho Mexicano, se ha quedado con mucho rezagado en la regulacion de una materia que lo ha rebasado. 103

122 De acuerdo, a la Constitucion, somos una Republica democratica, representativa y federal, compuesta de Estados Libres y soberanos por lo que se refiere a su regimen interior, pero unidos en un pacto federal. Asi como lo son: El Poder Legislativo El Congreso Federal Y las Legislaturas locales (Materias no Reservadas) Y a continuación en la Figura No.22 se describe la Legislación existente en México. Figura No. 22 Legislación Informática en México 25 Fraude mediante el uso de la computadora y la manipulación de la información que éstas contienen. Artículo 231 del Código Penal para el D.F. Se impondrán las penas previstas en el artículo anterior, a quien:... XIV. Para obtener algún beneficio para sí o para un tercero, por cualquier medio accese, entre o se introduzca a los sistemas o programas de informática del sistema financiero e indebidamente realice operaciones, transferencias o movimientos de dinero o valores, independientemente de que los recursos no salgan de la Institución... Código Penal Federal, artículos 211 bis 1 a 211 bis Ver Anexo I 104

123 Acceso no autorizado a sistemas o servicios y destrucción de programas o datos.- Código Penal Federal, artículos 211 bis 1 a 211 bis 7 A continuación en la Tabla No. Legislación Nacional, se describe el Código Penal Federal en los articulos 211 bis a 211 bis 7. CONDUCTA PENA Destruir información sin autorización. Si se trata de sistemas o equipos del Estado. Si se trata de sistemas o equipos de las instituciones que 6 meses a 2 años prisión, 100 a 300 días multa. 1 a 4 años y 200 a 600 días multa. 6 meses a 4 años prisión, 100 a 600 días multa. integran el sistema financiero. Conocer o copiar información sin autorización. 3 meses a 1 año prisión, 50 a 150 días multa. Si se trata de sistemas o equipos del Estado. 6 meses a 2 años prisión, 100 a 300 días multa. Si se trata de sistemas o equipos de las instituciones que integran el sistema financiero. 3 meses a 2 años prisión, 50 a 300 días multa. Destruir información cuando se tenga autorización para el acceso. 2 a 8 años prisión y 300 a 900 días multa. Si se trata de sistemas o equipos del Estado. Si se trata de sistemas o equipos de las instituciones que 6 meses a 4 años prisión y 100 a 600 días multa. integran el sistema financiero. Conocer o copiar información cuando se tenga autorización para el acceso. 1 a 4 años prisión y 150 a 450 días multa. Si se trata de sistemas o equipos del Estado. Si se trata de sistemas o equipos de las instituciones que 3 meses a 2 años prisión y 50 a 300 días multa. integran el sistema financiero. Tabla No. 27 Legislación Nacional Intervención de correo electrónico El artículo 167 fr.vi del Código Penal Federal sanciona con uno a cinco años de prisión y 100 a días de multa al que dolosamente o con fines de lucro, interrumpa o interfiera comunicaciones alámbricas, inalámbricas o de fibra óptica, sean telegráficas, telefónicas o satelitales, por medio de las cuales se transmitan señales de audio, de video o de datos. 4.4 Mejores Prácticas Hoy, la tendencia es alinearse con mejores prácticas para construir una estrategia de seguridad exitosa. Las exigencias cada día son mayores para los responsables de la seguridad informática de las compañías. Y es que hoy, ya no basta con mantener una estrategia reactiva de protección. 105

124 Los tiempos demandan proactividad, alineación con el negocio; en resumen: escaparse del entorno de los fierros para ser más estratégicos. Cumplir con todo esto se antoja difícil sí, sin embargo, los encargados de seguridad tienen a su disposición para enfrentar dichas demandas a unas eficaces aliadas, las mejores prácticas. Algunas de los puntos estrategicos para que destaque una mejor practica son: 1. Alinearse con los objetivos del negocio. Antes de pensar en la tecnología a implementar y las políticas a seguir para la protección de una empresa, resulta fundamental analizar cuáles son los objetivos del negocio, sus procesos prioritarios, los activos más importantes, los datos más críticos; porque sólo así se asegurará de forma robusta aquello que realmente es importante para el funcionamiento de la compañía. 2. Elaborar un mapa de riesgos. Una vez que ya se tiene identificado qué es lo prioritario dentro del negocio, conviene hacer un análisis de riesgos y vulnerabilidades para establecer de forma clara cuáles son las amenazas a los activos críticos de la organización. Sólo que en este análisis no se debe olvidar considerar tanto infraestructura como procesos y personal. En el mapa de riesgos debe ubicarse, por ejemplo, qué personas no tienen los conocimientos suficientes como para operar los sistemas sin comprometerlos o quiénes son negligentes o descuidados. 3. Diseñar un plan o programa estratégico de seguridad de la información. Tomando como punto de partida el análisis de riesgos, hay que elaborar un plan, con sus debidas metodologías y prácticas, pero alineado con el de la compañía, para que todo lo hecho por el área de seguridad vaya en sentido de las iniciativas del negocio. 4. Definir e implementar políticas y lineamientos de seguridad. Una práctica muy importante es establecer reglas y lineamientos para el manejo seguro de la información, los sistemas y los procedimientos de la empresa. 5. Capacitar para asegurar. Los entrevistados coinciden en que hoy una de las mejores prácticas es educar y capacitar a los miembros de la organización respecto a las amenazas y a la conveniencia de acatar las políticas de protección para no abrir vulnerabilidades. 6. Conformar un equipo y un comité de seguridad. Formalizar la función del oficial de seguridad es una práctica muy recomendable hoy en día. 7. Desarrollar aplicaciones seguras desde su origen. El software que las compañías diseñen, ya sea externa o internamente, debe contemplar cuestiones de seguridad, para que desde el origen cuente con la mayor protección posible frente a amenazas. 106

125 Esto que pareciera tan básico es algo que todavía se está descuidando. Los programas y las aplicaciones de desarrollo in house (e incluso los comerciales) se diseñan sin considerar los factores requeridos para su protección, lo cual se convierte en una de las principales causas-raíz de los incidentes. 8. Mantener bajo control al outsourcing. Todas las actividades desarrolladas en outsourcing deben bajarse a niveles de servicio para medirlos, ya sea de forma cuantitativa o cualitativa (la opinión de los usuarios respecto a esto), porque muchas empresas están utilizando este esquema, pero sin aplicar los controles adecuados. 9. Medir el nivel de seguridad en la compañía. Para conocer el avance de la estrategia de protección, y ver si los objetivos se están cumpliendo, es necesario medir su progreso, a través de métricas, con las que se evalúe tecnología, procesos y personas. Las alternativas para esto son muchas y muy variadas. 10. Definir y probar un Plan de Recuperación en Caso de Desastres (DRP). Ya está más que perneada entre las compañías la conveniencia de establecer estrategias de continuidad para el negocio. Y aunque la mayoría de las organizaciones no dispone de un site alternativo, si cuentan con los respaldos suficientes para recuperar su información COBIT Proporciona un estándar internacional de prácticas aprobadas mundialmente que ayudan a la alta dirección, ejecutivos y administradores a incrementar el valor de las Tecnologías de la Información, TI, y a reducir los riesgos del negocio. Facilita un conjunto de buenas prácticas a través de un marco de trabajo de dominios y procesos, y presenta las actividades en una estructura manejable y lógica. Su misión es: Desarrollar un conjunto de objetivos de control en TI con autoridad, actualizados de carácter internacional y aceptados generalmente para el uso cotidiano de gerentes de empresas y auditores 26, esta norma se divide en cuatro dominios con 34 objetivos de alto nivel y 318 objetivos de control, en los cuales existe el objetivo de alto nivel PO9 dentro del dominio de Planificación y Organización, denominado Evaluación y Valoración de los riesgos, en la cual se identifican, miden y se realiza un plan de acción contra los riesgos; uno de los puntos cruciales de esta etapa es la identificación de los riesgos, en la cual, las pruebas de penetración ayudarán de manera sustancial a identificar las vulnerabilidades asociadas con el servicio que se esté prestando, además de encontrar las contramedidas adecuadas para minimizarlos. 26 ISACA-Cobit Gobierno de las TIC, Auditoria y control, Francisco Llabrés 107

126 En relación a la implementación de un nuevo sistema como producto de las necesidades del cliente, se debe evaluar de manera que no solo cumpla con los requerimientos funcionales que se desean, sino además, que se integre de manera adecuada con los controles y políticas de seguridad que se establecen dentro de la organización, para lo cual, es necesario poner a prueba cada uno de los módulos que la componen, así como la comunicación que este tiene con el sistema ya implantado anteriormente, esto, con el fin de observar que aún sigue siendo seguro el entorno en el que se está trabajando, esto es aplicable en el objetivo AI5 sobre la instalación y autorización de los sistemas. Del objetivo DS5 sobre la seguridad de los sistemas, uno de los aspectos interesantes a destacar es evaluar los controles de acceso lógico, tales como autenticación, acceso, administración de claves criptográficas, etc. En donde las pruebas realizadas sobre el sistema deben arrojar como resultado el nivel de cumplimiento de los controles implantados, además de evaluar y poner en práctica los controles de acceso lógicos, se recomienda evaluar el Firewall y sus conexiones con la red pública para garantizar enlaces seguros, así como llevar un informe de actividades y de violaciones de seguridad; otro de los puntos a destacar, es el objetivo DS9 gestionar y administrar la configuración, en donde se probarán los cambios realizados a las configuraciones de software en el servidor, de tal manera que, estos lo realicen exclusivamente los administradores del sistema y que se informe los cambios. Con respecto al objetivo DS11, gestión y administración de la información se evaluan la integridad de los datos, así como tener un filtro o una correcta gestión de errores de entrada de datos, es decir, al momento de permitir que los usuarios ingresen datos al sistema, se presenta una vulnerabilidad que debe manejarse adecuadamente y probarse antes de su implementación. COBIT define las actividades de TI de una organización, en un modelo genérico de procesos en cuatro dominios. Los dominios son Planear y Organizar, Adquirir e Implementar, Entregar y Dar Soporte y Monitorear y Evaluar. El marco de trabajo de COBIT proporciona un modelo de procesos de referencia y un lenguaje común para todos los implicados en los trabajos de la organización, con el fin de que visualicen y administren las actividades de TI. La incorporación de un modelo y un lenguaje común para todas las partes de un negocio involucradas en TI es uno de los pasos iniciales más importantes hacia un buen gobierno. Brinda un marco de trabajo para la medición y monitoreo del desempeño de las Tecnologías de Información, e integra las mejores prácticas administrativas. Fomenta la propiedad de los procesos, permitiendo que se definan las responsabilidades. Determina las actividades y los riesgos que requieren ser administrados. 108

127 En esta ocasión COBIT nos ayudara con algunos apartados para poder realizar nuestro análisis de riesgos correctamente, tal como se mencionan a continuación. Algunos de los aspectos que se establecen de COBIT para Seguridad en Redes son: DS5 GARANTIZAR LA SEGURIDAD DE LOS SISTEMAS DS5.1 ADMANISTRACIÓN DE LA SEGURIDAD DE TI: Administrar la seguridad de TI a nivel más apropiado dentro de la organización, de manera que las acciones de administración de la seguridad estén en línea con los requerimientos del negocio. DS5.2 PLAN DE SEGURIDAD DE TI: Trasladar los requerimientos de información del negocio, la configuración de TI, los planes de acción del riesgo de la información y la cultura sobre la seguridad en la información a un plan global de seguridad TI. DS5.3 ADMINISTRACIÓN DE IDENTIDAD: Todos los usuarios y su actividad en sistemas de TI deben ser identificables de manera única. Las identidades del usuario y los derechos de acceso se mantienen en un repositorio central. DS5.4 ADMINISTRACIÓN DE CUENTAS DEL USUARIO: Garantizar que la solicitud, establecimiento, emisión, suspensión, modificación y cierre de cuentas de usuario y de los privilegios relacionados, sean tomados en cuenta por la gerencia de cuentas de usuario. Los derechos y obligaciones relacionados al acceso a los sistemas e información de la empresa son acordados contractualmente para todos los tipos de usuarios. La gerencia debe llevar a cabo una revisión regular de todas las cuentas y los privilegios asociados. DS5.5 PRUEBAS, VIGILANCIA Y MONITOREO DE LA SEGURIDAD: Garantizar que la implementación de la seguridad en TI sea probada y monitoreada en forma pro-activa. La seguridad TI debe ser re-acreditada periódicamente para garantizar que se mantiene el nivel seguridad aprobada. DS5.6 DEFINICIÓN DE INCIDENTE DE SEGURIDAD: Garantizar que las características de los posibles incidentes de seguridad sean definidas y comunicadas de forma clara, de manera que los problemas de seguridad sean atendidos de forma apropiada por medio del proceso de administración de problemas o incidentes. 109

128 DS5.7 PROTECCIÓN DE LA TECNOLOGIA DE SEGURIDAD: Garantizar que la tecnología importante relacionada con la seguridad no seas susceptible de sabotaje y que la documentación de seguridad no se divulgue de forma innecesaria, es decir, que mantenga un perfil bajo. DS5.8 ADMINISTRACIÓN DE LLAVES CRIPTOGRÁFICAS: Determinar que las políticas y procedimientos para organizar la generación, cambio, revocación, destrucción, uso y archivo de llaves criptográficas estén implantadas, para garantizar la protección de las llaves contra modificaciones y divulgación no autorizadas. DS5.9 PREVENCIÓN, DETECCIÓN Y CORRECIÓN DE SOFTWARE MALICIOSO: Garantizar que se cuente con medidas de prevención, detección a lo largo de toda la organización para proteger a los sistemas de información y a la tecnología contra software malicioso. DS5.10 SEGURIDAD DE LA RED: Garantizar que se utiliza técnicas de seguridad y procedimientos de administración asociadas para autorizar acceso y controlar los flujos de información desde y hacia las redes. DS5.11 INTERCAMBIO DE DATOS SENSITIVOS: Garantizar que las transacciones de datos sensibles sean intercambiadas solamente a través de una ruta o medio confiable con controles para brindar autenticidad de contenido, prueba de envió, prueba de recepción y no rechazo del origen ISACA La Asociación de Auditoría y Control de Sistemas de Información ha determinado que la naturaleza especializada de la auditoría de los sistemas de información y las habilidades necesarias para llevar a cabo este tipo de auditorías, requieren el desarrollo y la promulgación de Normas Generales para la Auditoría de los Sistemas de Información. La auditoría de los sistemas de información se define como cualquier auditoría que abarca la revisión y evaluación de todos los aspectos (o de cualquier porción de ellos) de los sistemas automáticos de procesamiento de la información, incluidos los procedimientos no automáticos relacionados con ellos y las interfaces correspondientes. Las normas promulgadas por la Asociación de Auditoría y Control de Sistemas de Información son aplicables al trabajo de auditoría realizado por miembros de la Asociación de Auditoría y Control de Sistemas de Información y por las personas que han recibido la designación de Auditor Certificado de Sistemas de Información. 110

129 La Asociación de Auditoría y Control de Sistemas de Información en donde sus principales funciones son: 1. Evaluar la estrategia y proceso para el desarrollo, implementación y mantenimiento de los SI, para asegurar que apoyen los objetivos de negocio de la organización. 2. Evaluar las políticas, normas y procedimientos de SI y los procesos para su desarrollo, empleo y mantenimiento para asegurar que los mismos den apoyo a la estrategia de SI. 3. Evaluar las prácticas de administración de SI para asegurar cumplimiento con las políticas, normas y procedimientos de SI. 4. Evaluar la organización y estructura de SI para asegurar el debido y adecuado apoyo de los requerimientos de negocio de la organización en una forma controlada. 5. Evaluar la selección y la administración de servicios de terceros para asegurar que los mismos apoyen la estrategia de SI. En ISACA existen auditores certificados por la misma institución en donde existen técnicas y prácticas operativas que nos dicen como se deben evaluar y revisar los siguientes aspectos en Seguridad Informática como: Red de Sistemas de Información e Infraestructura de Telecomunicaciones en donde se clasifican mediante: o Estándares y Protocolos de Red o Organizaciones de Estándares Internacionales o Medios de Transmisión o Tipos de Redes o Procedimientos de Monitoreo de Telecomunicaciones Revisiones de la Infraestructura y Operaciones o Hardware o Sistemas Operativos o Bases de Datos o Red de Área Local o Control Operativo de Redes 111

130 4.4.3 ISO SGSI son las siglas utilizadas para referirse a un Sistema de Gestión de la Seguridad de la Información, una herramienta de gran utilidad y de importante ayuda para la gestión de las organizaciones, que tiene ahora como referencia la norma internacional ISO/IEC 27001:2005. Dado que la información es uno de los activos más importantes de toda organización, requiere junto a los procesos y sistemas que la manejan, ser protegidos convenientemente frente a amenazas que puedan poner en peligro la disponibilidad, integridad, confidencialidad así como la continuidad de los niveles de competitividad, rentabilidad y conformidad legal necesarios para alcanzar los objetivos de la organización. Actualmente, la mayor parte de la información reside en equipos informáticos, redes de datos y soportes de almacenamiento, encuadrados todos dentro de lo que se conoce como sistemas de información. Estos sistemas de información están sujetos a riesgos e inseguridades tanto desde dentro de la propia organización como desde fuera. A los riesgos físicos (accesos no autorizados a la información, catástrofes naturales, fuego, inundaciones, terremotos, vandalismo, etc.) hay que sumar los riesgos lógicos (virus, ataques de denegación de servicio, spam, phishing, etc.). Es posible disminuir de forma significativa el impacto de los daños sin necesidad de realizar grandes inversiones en productos de seguridad y sin contar con una gran estructura de personal. Para ello se hace necesario conocer y afrontar de manera ordenada los riesgos a los que está sometida la información, y a través de la participación activa de toda la organización, diseñar unos procedimientos adecuados y planificar e implantar controles de seguridad basados en una evaluación de riesgos y en una medición de la eficacia de los mismos. El Sistema de Gestión de la Seguridad de la Información (SGSI) ayuda a establecer las políticas, normas, procedimientos y controles en relación a los objetivos de negocio de la organización, con objeto de mantener siempre el riesgo por debajo del nivel asumible por la propia organización. Para los responsables de una Organización es una herramienta, alejada de tecnicismos, que ofrece una visión global sobre el estado de sus sistemas de información, las medidas de seguridad que se están aplicando y los resultados que se están obteniendo de dicha aplicación. Todos estos datos permiten a la dirección tomar decisiones sobre la estrategia a seguir. En definitiva, con un SGSI, la organización conoce los riesgos a los que está sometida su información y los gestiona mediante una sistemática definida, documentada y conocida por todos, que se revisa y mejora constantemente. Una vez establecido el alcance y definidos los objetivos de seguridad materializados sobre la política, la siguiente actividad es la realización del análisis del riesgo. Ésta es la fase nuclear del SGSI en torno a la que giran el resto de actividades de construcción del SGSI. 112

131 Es el diagnóstico de situación de la seguridad de los sistemas de información y deben identificarse y valorar los siguientes elementos que se involucra a la norma y en el cómo se describen en la Figura No. 23 Relación de elementos de seguridad y como se describen a continuación: Figura No. 23 Relación entre los elementos de seguridad Los activos o elementos del sistema de información de valor que se quieren proteger. Las amenazas a considerar, es decir, de qué y de quién hay que protegerse. El impacto que causarían las posibles contingencias en caso de producirse. Las vulnerabilidades o la posibilidad de que alguna de estas amenazas se materialicen y produzcan un impacto en nuestros sistemas. El riesgo al que la organización se ve sometida. Las salvaguardas que protegen frente al potencial daño de amenazas. Para ello, se valoran los activos de información para determinar la importancia que éstos tienen en función del impacto que resultaría en caso de que fueran: Inaccesibles Destruidos Revelados Modificados En otras palabras, se valoran los datos en función de la importancia de su disponibilidad, confidencialidad e integridad, que son los elementos que constituyen la Seguridad de la Información. Para poder medir la sensibilidad a la pérdida de estos atributos de la información, Una vez identificado el daño que podrían causar los posibles problemas, la siguiente etapa consiste en determinar cuáles son sus causas y cómo de posibles son éstas. Para ello, se realizan estimaciones del grado de vulnerabilidad de cada amenaza para cada grupo de activos. Con estos datos, se dispone de los resultados del análisis de riesgos que identifica los activos sometidos a mayor nivel de riesgo y las amenazas potencialmente más peligrosas según el impacto causado. En relación al desarrollo de estas actividades, el proyecto cuenta con una aplicación informática diseñada para las tareas de análisis y gestión del riesgo que da soporte a todas las actividades del proceso y proporciona información tanto a nivel de gerencia como a nivel técnico sobre los diferentes parámetros del proyecto. 113

132 También permite identificar cuáles son las potenciales amenazas que generan los mayores niveles de riesgo y a qué activos afectan, esta información sirve como base para establecer el plan de tratamiento de riesgos e identificar aquellos puntos donde la seguridad de los activos debe ser reforzada. Dentro del proceso de construcción del SGSI es este momento en el que se deben definir los criterios de gestión del riesgo, estableciendo los umbrales de riesgo a gestionar y los umbrales del riesgo aceptado. El riesgo representa la posibilidad de que se produzca un impacto determinado en un activo, como consecuencia de la materialización de una amenaza. El riesgo calculado es un riesgo potencial, es decir aquel riesgo asociado a los elementos supuesto que no se han aplicado contramedidas. El valor de riesgo se calcula utilizando la siguiente matriz que se muestra en la Figura No. 24 Cálculo del valor del riesgo. Figura No. 24 Cálculo del Valor del Riesgo De esta manera obtenemos 15 valores distintos de riesgos que agrupamos en tres niveles de riesgo distintos: Máximos: Riesgos para los que se considera necesario tomar las medidas oportunas que permitan minimizarlos o eliminarlos de forma sistemática. Medios: Riesgos para los que se recomienda tomar las medidas oportunas que permitan minimizarlos. Mínimos: Riesgos que podrían ser asumidos por la organización para los cuales no se define un plan concreto, aunque se recomienda mantener acciones para reducirlos y/o eliminarlos ISO/IEC ISO es una norma internacional que ofrece recomendaciones para realizar la gestión de la seguridad de la información dirigidas a los responsables de iniciar, implantar o mantener la seguridad de una organización. 114

133 ISO define la información como un activo que posee valor para la organización y requiere por tanto de una protección adecuada. El objetivo de la seguridad de la información es proteger adecuadamente este activo para asegurar la continuidad del negocio, minimizar los daños a la organización y maximizar el retorno de las inversiones y las oportunidades de negocio. En la norma 17799:2005 dentro de los apartados que a continuación se mencionan hacen referencia a seguridad en redes que son los estándares que debemos tomar en cuenta para efectos de esta tesis Apartado 7. Controles de Gestión de Activos 7.1 Controles de Responsabilidad de los Activos Controles del Inventario de los Activos Controles de Propiedad de los Activos Controles del Uso Aceptable de los Activos Apartado 9. Controles de Seguridad Física y Ambiental 9.1 Controles de Áreas Seguras Controles del Perímetro de la Seguridad Física Controles de Ingreso Físico Controles de Aseguramiento de las oficinas, habitaciones y medios Controles de Protección contra amenazas externas e internas 9.2 Controles de la Seguridad de los Equipos Ubicación y Protección del Equipo Servicios Públicos de Soporte Seguridad del Cableado Mantenimiento del Equipo Seguridad del Equipo fuera del Local Seguridad de la Eliminación o Re-Uso del Equipo Apartado 10. Controles de la Gestión de Comunicaciones y Operaciones 10.1 Controles de Procedimientos y Responsabilidades Operacionales Separación de los Medios de Desarrollo, Prueba y Operación 10.2 Controles de Administración de servicios a terceras partes 10.3 Controles de Planeamiento y Aceptación de sistemas 10.4 Controles de Protección contra Código Malicioso Controles Contra Códigos Maliciosos 10.5 Controles de Copias de Respaldo o Back Up 10.6 Controles de la Gestión de Seguridad de la Red 115

134 Controles de Redes Seguridad de los Servicios de la Red 10.7 Controles de la Gestión de Medios Gestión de Medios Removibles 10.8 Controles de Intercambio de Información Medios Físicos en Transito Monitoreo Uso del Sistema de Monitoreo Protección del Registro de Información Registros del Administrador y Operador Registro de Fallas Apartado 11. Controles de Control de Accesos 11.1 Controles de Requerimientos del Negocio para Control de Accesos Política de Control de Acceso 11.2 Controles de Gestión de Accesos de Usuarios 11.3 Controles de Responsabilidades del Usuario 11.4 Controles de Accesos a la Red Política sobre el uso de Servicios de la Red Autentificación del Usuario para las Conexiones Externas Identificación del Equipo en las Redes Protección del puerto de Diagnostico y Configuración Remoto Segregación de Redes Control de Conexión a la Red Control de Routing de la Red 11.5 Controles de Accesos a Sistema Operacional 11.6 Controles de Accesos a Aplicaciones e Información Apartado 12. Información Controles de Adquisición, Desarrollo y Mantenimiento de Sistemas de 12.1 Controles de Requerimientos de seguridad de los sistemas de información 12.2 Procesamiento adecuado en aplicaciones 12.3 Controles criptográficos Política sobre el uso de controles cristológicos Gestión de claves 12.4 Seguridad de los sistemas de archivos 116

135 12.5 Seguridad en los procesos de desarrollo y soporte 12.6 Administración de vulnerabilidades técnicas Control de las vulnerabilidades técnicas Apartado 14. Gestión de la Continuidad del Negocio 14.1 Aspectos de la seguridad de la información de la gestión de la continuidad del negocio Incluir la seguridad de la información en el proceso de gestión de la continuidad del negocio Continuidad del negocio y evaluación del riesgo ITIL ITIL (Biblioteca de Infraestructuras de Tecnologías de Información) es una estructura propuesta por la OGC (Oficina Gubernamental de Comercio) del Reino Unido que reúne las mejores prácticas del área de la gestión de servicios de Tecnología Informática (TI) en una serie de guías. El gobierno británico inició la biblioteca ITIL a principios de la década de 1980 con el objetivo de mejorar el servicio brindado por sus departamentos de TI. El objetivo de ITIL es proporcionar a los administradores de sistemas de TI las mejores herramientas y documentos que les permitan mejorar la calidad de sus servicios, es decir, mejorar la satisfacción del cliente al mismo tiempo que alcanzan los objetivos estratégicos de su organización. Para esto, el departamento de TI debe ser considerado como una serie de procesos estrechamente vinculados. Pragmáticamente, ITIL cumple con la lógica de hacer que la TI sea útil para los empleados y clientes en lugar de lo opuesto. Los departamentos de TI no son las únicas organizaciones que se benefician con el enfoque ITIL, ya que éste consiste en hacer que los departamentos de TI sean conscientes de que la calidad y disponibilidad de las infraestructuras de TI tienen un impacto directo sobre la calidad global de la compañía. La ITIL está dividida en nueve áreas (que corresponden a nueve libros) que abarcan todos los problemas encontrados por los administradores de sistemas de IT. Los dos primeros se consideran el núcleo del método ITIL: Soporte técnico del servicio Entrega del servicio Administración de infraestructura Administración de aplicaciones Administración del servicio Perspectiva empresarial Requisitos empresariales Tecnología 117

136 Las áreas de mayor demanda en este rubro y para nuestra aplicación en el modelo de seguridad de redes de datos serán: El área de soporte técnico del servicio se ocupa de la operación y soporte de la infraestructura de TI. Se divide en los siguientes seis procesos que se ilustra en la Tabla No.28 : PROCESO Administración de Configuración Administración de Incidentes Administración de Problemas Gestión del Cambio Administración de Implementación Administración de Disponibilidad OBJETIVO Administra la infraestructura de TI mediante un inventario de la infraestructura actual para mejorar su administración y desarrollo Mejora la detección de incidentes; mejora el plazo de recuperación de incidentes en función de la importancia para la operación de la empresa. Mejora la administración de problemas recurrentes e implementa soluciones preventivas con el objetivo de reducir o incluso eliminar su ocurrencia Establece cómo ocurrirán los cambios para anticipar efectos colaterales Garantiza el funcionamiento correcto de los diferentes departamentos estableciendo los requisitos de trabajo Asegura un nivel satisfactorio de disponibilidad a un costo razonable Tabla No. 28 Área de Soporte Técnico La siguiente será, el área de entrega del servicio está dividido en los siguientes cuatro procesos: PROCESO Administración de Configuración Administración de Incidentes Administración de Problemas Gestión del Cambio Administración de Implementación Administración de Disponibilidad OBJETIVO Administra la infraestructura de TI mediante un inventario de la infraestructura actual para mejorar su administración y desarrollo Mejora la detección de incidentes; mejora el plazo de recuperación de incidentes en función de la importancia para la operación de la empresa. Mejora la administración de problemas recurrentes e implementa soluciones preventivas con el objetivo de reducir o incluso eliminar su ocurrencia Establece cómo ocurrirán los cambios para anticipar efectos colaterales Garantiza el funcionamiento correcto de los diferentes departamentos estableciendo los requisitos de trabajo Asegura un nivel satisfactorio de disponibilidad a un costo razonable Tabla No. 29 Área de Entrega de Servicio 118

137 4.4.6 Orange Book Este documento surgió con la necesidad de medir el nivel de seguridad de los sistemas de cómputo, de la misma manera en que se establecen políticas y controles para que el sistema se clasifique en cuatro grades áreas de menor nivel, de confianza lo mayor posible, es por ello, que se presenta como una práctica recomendada efectuar las pruebas de seguridad en las redes de datos, evaluar ciertos controles que la componen y verificar la clasificación del sistema. Teniendo en perspectiva los requisitos que maneja el documento, se pondrá mayor énfasis en el tercero que trata sobre la identificación, es decir, los eventos que se produzcan en el sistema deben ser identificados y registrados, teniendo en cuenta, quien los produjo y que derechos tiene sobre los eventos o datos. Es así, como al efectuar las pruebas de seguridad a los sistemas se pondrán en evidencia los resultados del buen cumplimiento de este requisito, ya que el objetivo de las pruebas será, el no ser detectado por los sistemas de identificación y tener privilegios, los cuales no son los cedidos por el administrador del sistema. La evaluación realizada con la metodología de pruebas de seguridad, es observada en base a los controles que se establecen para cada Clase (A,B,C y D), dentro de la clasificación de los sistemas confiables de la clase D a la clase A para sistemas de mayor grado de confianza con lo que se podrá evaluar en cada uno de estos grupos, el nivel de cumplimiento de los controles establecidos y de los requisitos que se imponen en el Orange Book para obtener la clasificación adecuada; en la clase C1 se podrá evaluar los controles de acceso, por ejemplo, los ACL s,de tal manera que el intruso una vez burlado el sistema de protección de la red y el servidor no pueda tener los suficientes privilegios para modificar, borrar archivos o información contenida en el de manera aren la clase C2 se evalúan los métodos de login para las aplicaciones, de tal forma que: La autorización para accesar solo puede ser asignada por usuarios autorizados 26, y que no se permita la escalada de privilegios; otro de los controles que se podrán evaluar en las pruebas de seguridad es la protección de rehúso de objetos, lo cual se logrará verificando si los sistemas evaluados cuentan con mecanismos que controlen el tiempo en que es válido una credencial de usuario aceptado. Otro punto importante a evaluar con estas pruebas, es el control implantado en la auditoria de eventos de seguridad, con la cual se puede monitorear los eventos producidos y registrados, así como los no registrados y los falsos positivos, es decir, se presentarán técnicas al auditor para evaluar el nivel de confianza de los sistemas y procesos de auditoria interna. En la clase B1 se evalúa, la correcta clasificación por etiquetas de objetos, es decir, que se pondrá a prueba el nivel de sensibilidad de la información recabada al inicio de las pruebas de seguridad, así que, se debe observar el correcto acceso a información clasificada por el personal autorizado dentro de la clase B2, las pruebas de seguridad sirven para evaluar los canales de comunicación 119

138 entre los clientes y el servidor, o por el proveedor de los servicios, analizar los resultados obtenidos por las técnicas que se describirán posteriormente. Podrán ayudar al auditor a identificar los canales de comunicación secretos empleados en la aplicación, así como el diseñar el mapa de infraestructura de red (con la que se cuenta y sobre la que se despliega el servicio, aplicación o sistema); otro control susceptible de ser evaluado con la aplicación de las pruebas de seguridad de la red, es la notificación interactiva a los usuarios sobre el cambio de los niveles de seguridad aplicados en los objetos que posee. Se podrá identificar de manera fácil este control que establece el Orange Book para los sistemas de clase B2 al realizar este cambio, desde la terminal donde se llevan a cabo las pruebas y observar el comportamiento del sistema en la terminal del cliente propietario de los objetos modificados. Para la clase B3 se prueban las Listas de Control de Acceso (ACL) basados en grupos, con lo que se evalúa de nueva forma la escalada de privilegios sobre grupos de usuarios y sobre objetos OSSTMM Open Source Security Testing Methodology Manual creado por Pete Herzog es un estándar para el testeo de seguridad, en la cual se muestran una serie de lineamientos que deben ser evaluados desde el exterior al interior del sistema puesto a prueba, está basado en las mejores prácticas de: Sistemas Alemanes de TI ISO NIST MITRE Biblioteca de TI Se establecen recomendaciones y guías para realizar el procedimiento de pruebas, empezando por establecer el entorno sobre el cual ha de realizarse dichas pruebas, identificación de riesgo, evaluación de los riesgos, así como, los módulos de pruebas que se efectuarán, las políticas sobre la cual se realizarán las pruebas, el contrato que se establece con el cliente que la solicita y de los informes que se generarán durante todo el proceso. La metodología abarca aspectos de: Visibilidad Acceso Confianza Autenticación No-repudio Confidencialidad Privacidad Autorización Integridad Seguridad Alarma Dividido en seis secciones que son: 120

139 Seguridad de la información Seguridad de los procesos Seguridad en las tecnologías de Internet Seguridad en las Comunicaciones Seguridad Inalámbrica Seguridad física La primera sección trata sobre la seguridad de la información y se divide en tres módulos, que tienen como objetivo recopilar toda la información posible del sistema en base a su presencia en Internet, lo cual, genera que miles de usuarios tengan conocimiento de su existencia y probablemente de sus vulnerabilidades; además, se sugiere la búsqueda de información publicada de manera legal en donde se contraponen las políticas de privacidad que no se tomaron en cuenta, por último, se sugieren métodos de búsqueda de documentos que revelen algún tipo de información crítica del sistema y dando como resultado un perfil del sistema, la red, la tecnología empleada, etc. El primer módulo de la seguridad de información es el testeo de solicitud datos de manera fraudulenta al personal encargado, valiéndose para ello de , Chat, ingeniería social, etc.; un segundo método que se sugiere, es recopilar información que los usuarios muestren sin saberlo, es decir, que se invite a los usuarios (una vez identificados) a llenar ciertos cuestionarios, encuestas, etc. para que den a conocer la infraestructura de la organización; por último, se realiza un testeo de persona confiables en donde se intenta obtener información del sistema valiéndose de las relaciones de confianza de los empleados. La seguridad en las tecnologías de Internet se basa en 16 módulos, en los cuales se tienen como objetivos deducir el mapa de red, es decir, encontrar servidores, clientes locales, clientes remotos, IP s, Firewalls, etc., además de analizar las rutas de comunicaciones que existen; un objetivo más en esta sección es identificar los servicios corriendo en los sistemas, para ello se enumeran algunas técnicas que se pueden emplear a tal efecto, como por ejemplo: 6. Usar escaneos TCP SYN sobre los puertos 21, 22, 25, 80 y 443, para todos los servidores de la red. 8. Emplear FTP y Proxies para relanzar los escaneos al interior de la DMZ, para los puertos 22, 81, 111, 132, 137 y 161 para todos los servidores de la red Manual de la Metodología Abierta de Testeo de Seguridad, Versión

140 Una vez descubiertos los servicios, se procede a encontrar las vulnerabilidades que puedan tener cada uno de ellos, así como, determinar el nivel de parcheo del sistema operativo; se evalúa el enrutamiento de a cuerdo a las ACL s, se realiza el testeo de aplicaciones seguras; es decir, que se trata de engañar al sistema haciéndose pasar por una entidad de confianza; se evalúa en nivel del Firewall y el análisis de los paquetes que le son enviados, así como del IDS, se lleva acabo el testeo de denegación del servicio y se evalúan las herramientas que se implementan para ver sus capacidades de respuestas. En la siguiente sección se evalúa la seguridad en las comunicaciones, en donde se testea el PBX para lograr la administración remota del sistema, se analiza el correo de voz, se testea el fax y los modems para verificar que estén correctamente protegidos, que las contraseñas de administrador no sean fácilmente adivinables. Como penúltima sección, esta la seguridad de la red en la cual se tiene como objetivo evaluar el control de acceso, seguridad perimetral y la capacidad para interceptar las comunicaciones, en tal caso se analizará el cifrado que se este aplicando en los datos; las redes bluetooth si es que existen y serán evaluadas con la finalidad de medir su grado de confianza, también serán objeto de testing los dispositivos infrarrojos que se encuentren conectados al sistema. En la última sección se verifica la seguridad física, en donde se pone a prueba los puntos de acceso físico, la políticas de acceso a ciertas áreas restringidas, el monitoreo que es realizado comprobando su periodicidad y la obertura que ofrece; se recomienda verificar los métodos y dispositivos de alarma (en caso de ser necesario activar algunas para analizar sus respuestas); a continuación se muestran algunas de las plantillas que se sugieren usar en las pruebas como: La Tabla No.28, se muestra el formulario que se debe llenar, de acuerdo a los resultados obtenidos en la prueba de penetración al efectuar el escaneo de puertos específicos sobre determinados protocolos. PROTOCOLO ORIGEN RESULTADO UDP 53 UDP 161 TCP 53 TCP 69 Tabla No.30 Plantilla de Control de Puerto de Origen Manual de la Metodología Abierta de Testeo de Seguridad, Versión

141 En la Tabla No.29, se muestra como se debe registrar los resultados obtenidos al emplear ingeniería social para obtener información relevante del sistema sometido a las pruebas de penetración, en donde se observa que se debe tener identificado al personal o a la persona objetivo, su número telefónico dentro de la organización y una breve descripción de su perfil, puesto y que se espera obtener, además de anotar los resultados obtenidos una vez finalizada dicha técnica. Numero de Telefono. Persona ESCENARIO DE ATAQUE Descripción Resultados Tabla No.31 Plantilla de Ataque Telefónico usando métodos de Ingeniería Social Protección en las Redes de Datos Una de las preguntas que debemos hacernos antes de realizar este tipo de análisis es: La Seguridad de la Red Es necesaria? Es fácil dar una respuesta perteneciendo al rubro informático, ya que con la explosión del uso masivo de Internet, tanto los ordenadores personales como las redes de ordenadores, pueden ser vulnerables a diversos tipos de ataques. Internet ha pasado a ser sin ningún tipo de dudas la mayor red pública de datos, a través de la cual se facilitan comunicaciones personales y empresariales en todo el mundo. El volumen de tráfico de datos que se mueve en Internet crece exponencialmente de forma diaria. Un ejemplo de ello se muestra en la Figura No.27. Fig. 27 Ejemplificación del volumén de trafico en una Empresa 29 Manual de la Metodología Abierta de Testeo de Seguridad, Versión

142 Día a día crece el número de comunicaciones vía correo electrónico, acceso a las redes corporativas de teletrabajadores o personas que se desplazan constantemente, transacciones comerciales, etc. Conforme va aumentando el uso de la red de redes, aumentan las posibles amenazas sobre las distintas empresas y particulares que hacen uso de Internet. Entre los posibles ataques a los que puede estar sujeta una red corporativa o un particular se encuentran los virus, vándalos y troyanos; los ataques de hackers como podrían ser ataques de reconocimiento, de acceso, de negación de servicios y de interceptación de datos; e incluso una empresa debe ser capaz de estar protegida frente a los ataques desde dentro de la misma empresa, donde los mismos empleados de forma inconsciente, negligente o vengativa pueden causar daños irreparables. Entra las principales consecuencias de estos ataques se encuentran la pérdida de datos de vital importancia, violación de la privacidad y caída de la red durante varios días. Es importante, por parte de las empresas el establecer un sistema total de seguridad basado en identificación, privacidad, administración de las políticas y definición de un perímetro de seguridad. Conectividad Perimetro Detección Identidad Administración de Seguridad VPN Cortafuegos IDS Autenficación Control de acceso PKI Figura No. 28 Soluciones de la Protección de Redes de Datos Política de seguridad Describiendo algunos de los componentes que se muestran en la Figura No.28 podemos decir que: 124

143 4.5.1 VPN y Conectividad Segura Una elección de conectividad segura y eficiente es mediante las Redes Virtuales Privadas (VPN), una de las redes que además de garantizar conexión permanente, permiten el flujo de información de una forma segura. Una Red Privada Virtual (VPN) transporta de manera segura por Internet por un túnel establecido entre dos puntos que negocian un esquema de encriptación y autentificación para el transporte. Una VPN permite el acceso remoto a servicios de red de forma transparente y segura con el grado de conveniencia y seguridad que los usuarios conectados elijan. Las VPN están implementadas con firewalls, routers para lograr esa encriptación y autentificación. Como se ejemplifica en la Figura No Descripción de VPN Figura No. 29 Representación del diseño de una VPN Una Red Privada Virtual (VPN) consiste en dos máquinas (una en cada extremo de la conexión) y una ruta o "túnel" que se crea dinámicamente en una red pública o privada. Para asegurar la privacidad de esta conexión los datos transmitidos entre ambos ordenadores son encriptados por el Point-to-Point Protocol, también conocido como PPP, un protocolo de acceso remoto, y posteriormente enrutados o encaminados sobre una conexión previa (también remota, LAN o WAN) por un dispositivo PPTP. Una Red Privada Virtual es una forma de compartir y transmitir información entre un círculo cerrado de usuarios que están situados en diferentes localizaciones geográficas. Es una red de datos de gran seguridad que permite la transmisión de información confidencial entre la empresa y sus sucursales, socios, proveedores, distribuidores, empleados y clientes, utilizando Internet como medio de transmisión. 125

144 Aunque Internet es una red pública y abierta, la transmisión de los datos se realiza a través de la creación de túneles virtuales, asegurando la confidencialidad e integridad de los datos transmitidos. Como se describe en la siguiente Figura No.30. Figura No.30 Funcionamiento de una VPN Así, las VPN constituyen una estupenda combinación entre la seguridad y garantía que ofrecen las costosas redes privadas y el gran alcance, lo asequible y lo escalable del acceso a través de Internet. Esta combinación hace de las Redes Privadas Virtuales o VPNs una infraestructura confiable y de bajo costo que satisface las necesidades de comunicación de cualquier organización. Las VPNs permiten: La administración y ampliación de la red corporativa al mejor costo-beneficio. La facilidad y seguridad para los usuarios remotos de conectarse a las redes corporativas. Algunas de las ventajas de las VPN en una organización son: Extensiones de conectividad a nivel geográfico Mejoras de la seguridad Reduce costos al ser instalado frente a las redes WAN mas utilizadas Mejora la productividad Simplifica la o topología de red Proporciona oportunidades de comunicaciones adicionales Los requisitos indispensables para esta interconectividad son: Políticas de seguridad. Requerimiento de aplicaciones en tiempo real. Compartir datos, aplicaciones y recursos. Servidor de acceso y autentificación. Aplicación de autentificación. 126

145 Existen dos formas básicas de crear una conexión VPN: 1. De un enrutador VPN a otro enrutador VPN. En casa, un teletrabajador emplea su enrutador VPN de cable/dsl para su conexión permanente a Internet. Ha configurado su enrutador con los ajustes VPN de su oficina. Cuando se conecta al enrutador de su oficina, los dos enrutadores crean un túnel VPN donde se cifran y se descifran los datos. Ya que las VPN emplean Internet, la distancia no importa. Mediante la VPN, el teletrabajador tiene una conexión segura a la red de la oficina central, como si estuviera conectado físicamente. 2. Desde el ordenador (mediante el software del cliente de VPN o un adaptador USB compatible con IPSec) a un enrutador VPN. En la habitación de su hotel, una empresaria realiza el marcado a su ISP. Su ordenador portátil tiene el software del cliente de VPN que se configura con las opciones de VPN de su oficina. Ejecuta el software compatible con IPSec (Seguridad del protocolo de Internet) y se conecta al enrutador VPN de la oficina central. Ya que las VPN emplean Internet, la distancia no importa. Mediante la VPN, la empresaria dispone de una conexión segura a la red de la oficina central, como si estuviera conectada físicamente Tipos de VPN Tunneling: Los famosos ataques de hombre en medio se basa en que si alguien conecta su máquina a una red y utilice un snnifer recibirá y podrá ver los paquetes de datos que circulan por esta red, exponiéndose a modificaciones de datos, denegación del servicio, entre otras. Si alguno de los protocolos que están trabajando envía sus paquetes en claro, y contiene información sensible, dicha información se verá comprometida. Tunneling es una forma de evitar este problema, sin dejar por ello de utilizar todos aquellos protocolos que carezcan de medios de cifrado, pues las comunicaciones se cifran con un sistema que permita entenderse sólo a las dos máquinas que participan en el intercambio de datos, al no poder descifrar los datos, cualquiera que intercepte desde una tercera máquina los paquetes, no podrá hacer nada con ellos. Básicamente, esta técnica consiste en abrir conexiones entre dos máquinas por medio de un protocolo seguro, como puede ser SSH (Secure SHell), a través de las cuales realizaremos las transferencias inseguras, que pasarán de este modo a ser seguras. siendo la conexión segura (en este caso de ssh) el túnel por el cual se envían los datos para que nadie más aparte de los interlocutores que se sitúan a cada extremo del túnel, pueda ver dichos datos. 127

146 Este tipo de técnica requiere de forma imprescindible tener una cuenta de acceso seguro en la máquina con la que se quiere comunicar los datos. VPN Sitio a Sitio: Este esquema se utiliza para conectar oficinas remotas con la sede central de organización. El equipo central vpn, que posee un vinculo a Internet permanente, acepta las conexiones vía Internet provenientes de los sitios y establece el "túnel" vpn. Los servidores de las sucursales se conectan a Internet utilizando los servicios de su proveedor local de Internet, típicamente mediante conexiones de banda ancha. Esto permite eliminar los costosos vínculos punto a punto tradicionales, sobre todo en las comunicaciones internacionales. VPN de Acceso Remoto: Muchas empresas han reemplazado con esta tecnología VPN su infraestructura "dial-up", donde el cliente utilizaba un modem para llamar a través de la Red Telefónica Conmutada a un nodo del Proveedor de Servicios de Internet y este con un servidor PPP establecía un enlace módem-a-módem, que permite entonces que se enrute a Internet. Esta implementación se trata de comunicaciones donde los usuarios se conectan con la empresa desde sitios remotos (oficinas comerciales, casas, hoteles, etc.) utilizando Internet como medio de acceso. Una vez autenticados tienen un nivel de acceso muy similar al que tienen en la red local de la empresa. VPN Interna: Una aplicación realmente desconocida pero muy útil y potente consiste en establecer redes privadas virtuales dentro de una misma red local. El objetivo último es aislar partes de la red y sus servicios entre sí, aumentando la seguridad. Una aplicación muy típica de este modelo se utiliza para aumentar la seguridad en redes de acceso inalámbrico, separándolas así de la red física para evitar posibles fugas de información o accesos no autorizados. 128

147 Protocolos de una VPN En la Tabla? Tipos de Protocolos de una VPN se describen los tipos de protocolos existentes para una VPN, con el fin de saber que acción desemplean cada uno de ellos. PROTOCOLO PPTP IPSec L2TP ACCION Point-to-Point Tunneling Protocol fue desarrollados por ingenieros de Ascend Communications, U.S. Robotics, 3Com Corporation, Microsoft, y ECI Telematics para proveer entre usuarios de acceso remoto y servidores de red una red privada virtual. IPSec trata de remediar algunas falencias de IP, tales como protección de los datos transferidos y garantía de que el emisor del paquete sea el que dice el paquete IP. Si bien estos servicios son distintos, IPSec da soporte a ambos de una manera uniforme. IPSec provee confidencialidad, integridad, autenticidad y protección a repeticiones mediante dos protocolos, que son Authentication Protocol (AH) y Encapsulated Security Payload (ESP). Layer-2 Tunneling Protocol (L2TP) facilita el entunelamiento de paquetes PPP a través de una red de manera tal que sea lo más transparente posible a los usuarios de ambos extremos del túnel y para las aplicaciones que éstos corran. L2TP utiliza dos tipos de mensajes: de control y de datos. Los mensajes de control son usados para el establecimiento, el mantenimiento y el borrado de los túneles y las llamadas. Utilizan un canal de control confiable dentro de L2TP para garantizar el envío. Los mensajes de datos encapsulan los marcos PPP y son enviados a través del túnel 30. Tabla No.32Tipos de Protocolos en una VPN Firewalls y Defensa del Perímetro de Seguridad Firewall Los cortafuegos (o firewalls en inglés), es un elemento de hardware o software utilizado en las redes para prevenir algunos tipos de comunicaciones prohibidas por las políticas de red, las cuales se fundamentan en las necesidades del usuario

148 La configuración correcta de cortafuegos se basa en conocimientos considerables de los protocolos de red y de la seguridad de la computadora. Errores pequeños pueden dejar a un cortafuego sin valor como herramienta de seguridad Tipos de Firewalls 1. Filtrado de Paquetes 2. Proxy-Gateways de Aplicaciones 3. Dual-Homed Host 4. Screened Host 5. Screened Subnet 6. Inspección de Paquetes 7. Firewalls Personales Este tipo de Firewalls se basa en el principio de que cada paquete que circula por la red es inspeccionado, así como también su procedencia y destino. Se aplican desde la capa de Red hasta la de Aplicaciones. Generalmente son instalados cuando se requiere seguridad sensible al contexto y en aplicaciones muy complejas. Firewalls Personales: Estos Firewalls son aplicaciones disponibles para usuarios finales que desean conectarse a una red externa insegura y mantener su computadora a salvo de ataques que puedan ocasionarle desde un simple "cuelgue" o infección de virus hasta la pérdida de toda su información almacenada Restricciones en el Firewall La parte más importante de las tareas que realizan los Firewalls, la de permitir o denegar determinados servicios, se hacen en función de los distintos usuarios y su ubicación: 1. Usuarios internos con permiso de salida para servicios restringidos: permite especificar una serie de redes y direcciones a los que denomina Trusted (validados). Estos usuarios, cuando provengan del interior, van a poder acceder a determinados servicios externos que se han definido. 2. Usuarios externos con permiso de entrada desde el exterior: este es el caso más sensible a la hora de vigilarse. Suele tratarse de usuarios externos que por algún motivo deben acceder para consultar servicios de la red interna. 130

149 También es habitual utilizar estos accesos por parte de terceros para prestar servicios al perímetro interior de la red. Sería conveniente que estas cuentas sean activadas y desactivadas bajo demanda y únicamente el tiempo que sean necesarias Beneficios de un Firewall Los Firewalls manejan el acceso entre dos redes, y si no existieran, todas las computadoras de la red estarían expuestos a ataques desde el exterior. Esto significa que la seguridad de toda la red, estaría dependiendo de qué tan fácil fuera violar la seguridad local de cada máquina interna. El Firewall es el punto ideal para monitorear la seguridad de la red y generar alarmas de intentos de ataque, el administrador será el responsable de la revisión de estos monitoreos. Otra causa que ha hecho que el uso de Firewalls se haya convertido en uso casi imperativo es el hecho que en los últimos años en Internet han entrado en crisis el número disponible de direcciones IP, esto ha hecho que las intranets adopten direcciones sin clase, las cuales salen a Internet por medio de un "traductor de direcciones", el cual puede alojarse en el Firewall. Los Firewalls también son importantes desde el punto de vista de llevar las estadísticas del ancho de banda "consumido" por el tráfico de la red, y que procesos han influido más en ese tráfico, de esta manera el administrador de la red puede restringir el uso de estos procesos y economizar o aprovechar mejor el ancho de banda disponible. Los Firewalls también tienen otros usos. Por ejemplo, se pueden usar para dividir partes de un sitio que tienen distintas necesidades de seguridad o para albergar los servicios WWW y FTP brindados Limitaciones de un Firewall La limitación más grande que tiene un Firewall sencillamente es el hueco que no se tapa y que coincidentemente o no, es descubierto por un intruso. Los Firewalls no son sistemas inteligentes, ellos actúan de acuerdo a parámetros introducidos por su diseñador, por ende si un paquete de información no se encuentra dentro de estos parámetros como una amenaza de peligro simplemente lo deja pasar. Más peligroso aún es que ese intruso deje Back Doors, abriendo un hueco diferente y borre las pruebas o indicios del ataque original. 131

150 Otra limitación es que el Firewall "NO es contra humanos", es decir que si un intruso logra entrar a la organización y descubrir passwords o los huecos del Firewall y difunde esta información, el Firewall no se dará cuenta. El Firewall tampoco provee de herramientas contra la filtración de software o archivos infectados con virus, aunque es posible dotar a la máquina, donde se aloja el Firewall, de antivirus apropiados. Finalmente, un Firewall es vulnerable, él NO protege de la gente que está dentro de la red interna. El Firewall trabaja mejor si se complementa con una defensa interna. Como moraleja: "cuanto mayor sea el tráfico de entrada y salida permitido por el Firewall, menor será la resistencia contra los paquetes externos. El único Firewall seguro (100%) es aquel que se mantiene apagado". Un firewall permite proteger una red privada contra cualquier acción hostil, al limitar su exposición a una red no confiable aplicando mecanismos de control para restringir el acceso desde y hacia ella al nivel definido en la política de seguridad. Generalmente un firewall es utilizado para hacer de intermediario entre una red de una organización e Internet u otra red no confiable. Estos mecanismos de control actúan sobre los medios de comunicación entre las dos redes, en particular, sobre la familia de protocolos utilizada para la comunicación de sistemas remotos. La más comúnmente usada es TCP/IP ya que dispone de amplios desarrollos de mecanismos estándares para su uso en varios aspectos, incluyendo en seguridad. La tarea de un firewall consiste en inspeccionar y controlar todo el tráfico entre la red local e Internet. De esta forma se intenta detectar y rechazar todo el tráfico potencialmente peligroso antes de que alcance otras partes de la red interna, en algunos casos también se efectúan registros de tales actividades. La determinación de qué es peligroso para la red local, es especificada en la política de seguridad adoptada por el sitio. La protección que provee un firewall es de diferentes tipos: Bloquea tráfico no deseado; Redirecciona tráfico de entrada a sistemas internos de más confianza; Oculta sistemas vulnerables, que pueden ser fácilmente asegurados, de Internet; Puede registrar el tráfico desde y hacia la red privada; Puede ocultar información como ser nombres de sistemas, topología de la red, tipos de dispositivos de red, e identificadores de usuarios internos, de Internet; Puede proveer autenticación más robusta que las aplicaciones estándares; entre otros. 132

151 El firewall permite lograr esta protección aislando el segmento de la topología correspondiente a la red local del resto de Internet, controlando todo el tráfico que llega y sale de la misma. Un firewall ayuda a manejar una variedad de aspectos en el punto de acceso a la red pública manteniendo a los intrusos fuera, mientras permite a la red interna concentrarse en ofrecer sus servicios. La idea básica es permitir a los usuarios de una red protegida acceder a una red pública y al mismo tiempo hacer disponibles a la red pública los servicios y productos de la compañía, ofrecidos por esta red protegida. El control de acceso que ofrece un firewall a un sistema de red permite que algunos servidores puedan hacerse disponibles desde la red externa, mientras otros puedan ser cerrados del acceso externo no deseado. Previniendo, de esta forma, que los servicios inseguros o vulnerables sean explotados por atacantes externos, es posible el uso de estos servicios con un riesgo reducido de exposición ya que solo algunos protocolos seleccionados serán capaces de pasar a través del firewall Estrategia de un Firewall Generalmente un firewall se encuentra situado en los puntos de entrada a la red que protege. Este es un enfoque tradicional que surge a partir de la forma más simple de conexión de una red privada a Internet: mediante un único enlace. Aunque es posible utilizar otros enfoques para diferentes topologías de interconexión. Pero en cada caso, cada conexión (punto de acceso) de la red local a Internet estará equipada con un firewall Ya que todo el tráfico debe pasar por él, puede considerarse como el foco de todas las decisiones de seguridad. Concentrando las defensas en este punto, es posible reducir la sobrecarga de seguridad del sistema interno ya que el esfuerzo se limita a unos pocos dispositivos de toda la red (los que forman parte del firewall).de esta forma, un firewall centraliza el control de acceso. Los usuarios remotos pueden acceder a la red interna de forma controlada y segura, pasando a través del firewall Defensa del Perímetro de Seguridad La seguridad perimetral es un conjunto de sistemas de detección electrónica diseñado para proteger perímetros internos y externos. La característica que hace que la seguridad perimetral sea más efectiva que los sistemas de seguridad convencionales o no-perimetrales es que detecta, disuade y frena al intruso con mucha más antelación. 133

152 Estos sistemas detectan las señales provenientes de los perímetros protegidos, generados por escalamiento, intentos de corte, o golpes en las vallas o bien simples pisadas en el interior del área protegida. Reconocido mundialmente por su fiabilidad y adaptabilidad en las condiciones topográficas y climáticas más exigentes. La seguridad perimetral se basa en la protección de todo el sistema informático de una empresa desde fuera, es decir, proteger todo lo que rodea nuestra empresa de amenazas tales como virus, gusanos, troyanos, ataques de denegación de servicio, robo o destrucción de datos, hackeo de páginas web corporativas. La Evaluación Técnica de Seguridad Perimetral protege frontera entre la red interna de la organización y el resto de Internet. Permite valorar el grado de seguridad del sistema externo de la empresa y crea conciencia sobre el riesgo de la obtención de información que comprometa la privacidad de la empresa. Quizás uno de los elementos más a la hora de establecer seguridad, son los firewall. Aunque deben ser uno de los sistemas a los que más se debe prestar atención. De hecho, los Firewall no tienen nada que hacer contra técnicas como la Ingeniería Social y el ataque de gente adentro de la misma empresa, como se muestra en la Figura No Detección de IDS Figura No. 31 Ejemplificación del Perimetro de Seguridad Un sistema de detección de intrusos es un componente más dentro del modelo de seguridad de una organización. Consiste en detectar actividades inapropiadas, incorrectas o anómalas desde el exterior interior de un sistema informático. Los sistemas de detección de intrusos pueden clasificarse, según su función y comportamiento en: Host Based IDS: Operan en un host para detectar actividad maliciosa en el mismo. Network Based IDS: Operan sobre los flujos de información intercambiados en una red. Knowledge Based IDS: Sistemas basados en Conocimiento. 134

153 Behavior Based IDS: Sistemas basados en Comportamiento. Se asume que una intrusión puede ser detectada observando una desviación respecto del comportamiento normal o esperado de un usuario en el sistema. La idea central de este tipo de detección es el hecho de que la actividad intrusiva es un conjunto de actividades anómalas. Si alguien consigue entrar de forma ilegal al sistema, no actuará como un usuario comprometido; su comportamiento se alejará del de un usuario normal. Así las intrusiones pueden clasificarse en: Intrusivas pero no anómalas: Denominados Falsos Negativos (el sistema erróneamente indica ausencia de intrusión). En este caso la actividad es intrusiva pero como no es anómala no es detectada. No son deseables, porque dan una falsa sensación de seguridad del sistema. No intrusivas pero anómalas: Denominados Falsos Positivos (el sistema erróneamente indica la existencia de intrusión). En este caso la actividad es no intrusiva, pero como es anómala el sistema decide que es intrusiva. Deben intentar minimizarse, ya que en caso contrario se ignorarán los avisos del sistema, incluso cuando sean acertados. No intrusiva ni anómala: Son Negativos Verdaderos, la actividad es no intrusiva y se indica como tal. Intrusiva y anómala: se denominan Positivos Verdaderos, la actividad es intrusiva y es detectada. Los detectores de intrusiones anómalas requieren mucho gasto computacional, ya que se siguen normalmente varias métricas para determinar cuánto se aleja el usuario de lo que se considera comportamiento normal. A continuación en la Tabla No. 31 se muestran las características y fortalezas de los IDS CARACTERISTICAS Debe funcionar continuamente sin supervisión humana. El sistema debe ser lo suficientemente fiable para poder ser ejecutado en background dentro del equipo que está siendo observado. Sin embargo, no debe ser una caja negra (debe ser examinable desde el exterior). FORTALEZAS Suministra información muy interesante sobre el tráfico malicioso de la red. Poder de reacción para prevenir el daño. Es una herramienta útil como arma de seguridad de la red. Ayuda a identificar de dónde provienen los ataques que se sufren. 135

154 Debe ser tolerante a fallos en el sentido de que debe ser capaz de sobrevivir a una caída del sistema. En relación con el punto anterior, debe ser resistente a perturbaciones. El sistema puede monitorizarse a sí mismo para asegurarse de que no ha sido perturbado. Debe imponer mínima sobrecarga sobre el sistema. Un sistema que alenta el sistema, simplemente no será utilizado. Debe observar desviaciones sobre el comportamiento estándar. Debe ser fácilmente adaptable al sistema ya instalado. Cada sistema tiene un patrón de funcionamiento diferente y el mecanismo de defensa debe adaptarse de manera sencilla a esos patrones. Debe hacer frente a los cambios de comportamiento del sistema según se añaden nuevas aplicaciones al mismo. Debe ser difícil de engañar. Recoge evidencias que pueden ser usadas para identificar intrusos. Es una cámara de seguridad y una alarma contra ladrones. Funciona como disuasor de intrusos. Alerta al personal de seguridad de que alguien está tratando de entrar. Protege contra la invasión de la red. Suministra cierta tranquilidad. Es una parte de la infraestructura para la estrategia global de defensa. La posibilidad de detectar intrusiones desconocidas e imprevistas. Pueden incluso contribuir (parcialmente) al descubrimiento automático de esos nuevos ataques Tabla No. 33 Características, Fortalezas de los IDS En la Tabla No.32 se muestra a continuación las debilidades e inconvenientes que generalmente se muestran en los IDS. DEBILIDADES INCOVENIENTES No existe un parche para la mayoría de bugs de seguridad. Se producen falsas alarmas. Se producen fallos en las alarmas. No es sustituto para un buen Firewall, una auditoría de seguridad regular y una fuerte y estricta política de seguridad. La alta tasa de falsas alarmas dado que no es posible cubrir todo el ámbito del comportamiento de un sistema de información durante la fase de aprendizaje. El comportamiento puede cambiar con el tiempo, haciendo necesario un re entrenamiento periódico del perfil, lo que da lugar a la no disponibilidad del sistema o la generación de falsas alarmas. Tabla No. 34 Debilidades e Inconvenientes de los IDS 136

155 4.5.5 Gestión de IDS e IPS El servicio de monitorización y gestión de sistemas de detección y prevención de intrusiones permite mantener un cierto grado de seguridad, externalizando la de forma remota la gestión incidencias de seguridad en red en tiempo real. Esto es posible mediante la recolección de eventos generados por los diferentes puntos de inspección, la correlación de los datos y generación de tickets en función de la criticidad de los eventos, permitiendo actuar en el menor tiempo posible. En la monitorización de eventos, esta automatización de la gestión de las alertas producidas por los IDSs e IPSs permite la obtención, normalización y correlación de los diferentes eventos generados por los sensores, a varios niveles, tanto local del cliente como global para la detección de nuevos ataques. Esto permite principalmente dos posibilidades: Recolección de eventos de los dispositivos soportados de detección y prevención de intrusiones del cliente, en modo 24x7. Correlación de eventos de todos los dispositivos del cliente relacionados con la detección de incidentes, realizando una correlación global de incidentes de seguridad y la generación automática de tickets de incidencia para reducir los tiempos de notificación y determinar nuevos ataques. Gestión de dispositivos El equipo de S21sec gestiona la incorporación de nuevas firmas así como el ajuste constante de las reglas de detección. De esta forma se permite: Mantenimiento de firmas sobre los dispositivos del cliente. Afinación de la detección en función de la instalación del cliente. Actualización de los dispositivos, manteniendo homogénea la plataforma a versiones verificadas. Análisis de las peticiones de cambios en las políticas de seguridad, con una visión de seguridad, incluyendo la modificación de las reglas de seguridad y la aplicación efectiva de la política de seguridad. Actualización de los patrones y versiones de los dispositivos, manteniendo homogénea la plataforma hacia las últimas versiones estables y verificadas. 137

156 Multiplataforma El servicio permite trabajar de forma concurrente con equipos de diferentes fabricantes de sistemas cortafuegos, como por ejemplo McAfee, TippingPoint, ISS, Cisco, Juniper NetScreen y Snort personalizado con firma propias. De esta forma se realiza una correlación de eventos procedentes de diferentes fabricantes. Además, existe un portal único de gestión de incidentes con acceso seguro mediante token OTP desde cualquier navegador Autenticación Autenticación o autentificación, en términos de seguridad de redes de datos, se puede considerar uno de los tres pasos fundamentales (AAA). Cada uno de ellos es, de forma ordenada: 1. Autenticación En la seguridad de ordenador, la autenticación es el proceso de intento de verificar la identidad digital del remitente de una comunicación como una petición para conectarse. El remitente siendo autenticado puede ser una persona que usa un ordenador, un ordenador por sí mismo o un programa del ordenador. En un web de confianza, "autenticación" es un modo de asegurar que los usuarios son quién ellos dicen que ellos son - que el usuario que intenta realizar funciones en un sistema es de hecho el usuario que tiene la autorización para hacer así. 2. Autorización Proceso por el cual la red de datos autoriza al usuario identificado a acceder a determinados recursos de la misma. 3. Auditoría Mediante la cual la red o sistemas asociados registran todos y cada uno de los accesos a los recursos que realiza el usuario autorizados o no. El problema de la autorización a menudo, es idéntico a la de autenticación; muchos protocolos de seguridad extensamente adoptados estándar, regulaciones obligatorias, y hasta estatutos están basados en esta asunción. Sin embargo, el uso más exacto describe la autenticación como el proceso de verificar la identidad de una persona, mientras la autorización es el proceso de verificación que una persona conocida tiene la autoridad para realizar una cierta operación. La autenticación, por lo tanto, debe preceder la autorización. Para distinguir la autenticación de la autorización de término estrechamente relacionada, existen unas notaciones de taquigrafía que son: A1 para la autenticación y A2 para la autorización que de vez en cuando son usadas, también existen los términos AuthN y AuthZ que son usados en algunas comunidades. 138

157 Métodos de Autenticación Los métodos de autenticación están en función de lo que utilizan para la verificación y estos se dividen en tres categorías: Sistemas basados en algo conocido. Ejemplo, un password (Unix) o passphrase (PGP). Sistemas basados en algo poseído. Ejemplo, una tarjeta de identidad, una tarjeta inteligente(smartcard), dispositivo usb tipo epass token, smartcard o dongle criptográfico. Sistemas basados en una característica física del usuario o un acto involuntario del mismo: Ejemplo, verificación de voz, de escritura, de huellas, de patrones oculares. Cualquier sistema de identificación ha de poseer unas determinadas características para ser viable: Ha de ser fiable con una probabilidad muy elevada (podemos hablar de tasas de fallo de en los sistemas menos seguros). Económicamente factible para la organización (si su precio es superior al valor de lo que se intenta proteger, tenemos un sistema incorrecto). Soportar con éxito cierto tipo de ataques. Ser aceptable para los usuarios, que serán al fin y al cabo quienes lo utilicen. 4.6 Criptología Es la ciencia que consiste en transformar un mensaje inteligible en otro que no lo es (mediante claves que sólo el emisor y el destinatario conocen), para después devolverlo a su forma original, sin que nadie que vea el mensaje cifrado sea capaz de entenderlo. El mensaje cifrado recibe el nombre Criptograma. La importancia de la Criptografía radica en que es el único método actual capaz de hacer cumplir el objetivo de la Seguridad Informática: mantener la Privacidad, Integridad, Autenticidad... y hacer cumplir con el No Rechazo, relacionado a no poder negar la autoría y recepción de un mensaje enviado Algunos conceptos importantes de Criptología Criptoanálisis: Se ocupa del estudio de las distintas técnicas y métodos que permiten romper los algoritmos de encriptación. 139

158 Técnicas de Criptoanálisis Criptoanálisis Diferencial: Trata de encontrar correlaciones entre el texto claro y el texto cifrado obtenido a la salida del sistema criptográfico, partiendo del conocimiento de la existencia de ciertas diferencias entre varios textos claros que han introducido en el sistema. Criptoanálisis lineal: Trata de encontrar correlaciones entre la clave, el texto claro y el texto cifrado obtenido a la salida del sistema criptográfico basado en un cifrado en bloque. Criptoanálisis basado en claves relacionadas: Trata de encontrar correlaciones entre los cambios en la clave, el texto claro y el texto cifrado obtenido a la salida del sistema criptográfico. Técnicas de análisis estadístico de frecuencias: Los primeros métodos para romper los cifrados de sustitución poli alfabética se basaban en el análisis estadístico de frecuencias, partiendo del estudio de las cadenas de texto repetidas en el mensaje encriptado para determinar la longitud de la clave y la correspondencia entre los caracteres encriptados y sin encriptar. Criptosistema: Un Criptosistema se define como la quíntupla (m,c,k,e,d), donde: m representa el conjunto de todos los mensajes sin cifrar (texto plano) que pueden ser enviados. C Representa el conjunto de todos los posibles mensajes cifrados, o criptogramas. K representa el conjunto de claves que se pueden emplear en el Criptosistema. E es el conjunto de transformaciones de cifrado o familia de funciones que se aplica a cada elemento de m para obtener un elemento de C. Existe una transformación diferente EK para cada valor posible de la clave K. D es el conjunto de transformaciones de descifrado, análogo a E. Todo Criptosistema cumple la condición DK(EK(m)) = m es decir, que si se tiene un mensaje m, se cifra empleando la clave K y luego se descifra empleando la misma clave, se obtiene el mensaje original m. 31 Existen dos tipos fundamentales de Criptosistemas utilizados para cifrar datos e información digital y ser enviados posteriormente después por medios de transmisión libre. a. Simétricos o de clave privada: se emplea la misma clave K para cifrar y descifrar, por lo tanto el emisor y el receptor deben poseer la clave. El mayor inconveniente que presentan es que se debe contar con un canal seguro para la transmisión de dicha clave. 31 LUCENA LOPEZ, Manuel Jose. Criptografía y Seguridad de Computadores. Capitulo 2 Pagina

159 b. Asimétricos o de llave pública: se emplea una doble clave conocidas como Kp (clave privada) y Kp (clave Pública). Una de ellas es utilizada para la transformación E de cifrado y la otra para el descifrado D. En muchos de los sistemas existentes estas clave son intercambiables, es decir que si empleamos una para cifrar se utiliza la otra para descifrar y viceversa. Los sistemas asimétricos deben cumplir con la condición que la clave Publica (al ser conocida y sólo utilizada para cifrar) no debe permitir calcular la privada. Como puede observarse este sistema permite intercambiar claves en un canal inseguro de transmisión ya que lo único que se envía es la clave pública. Algoritmos Simétricos Modernos (Llave Privada) La mayoría de los algoritmos simétricos actuales se apoyan en los conceptos de Confusión y Difusión vertidos por Claude Shannon sobre la Teoría de la Información a finales de los años cuarenta. Estos métodos consisten en ocultar la relación entre el texto plano, el texto cifrado y la clave (Confusión); y repartir la influencia de cada bit del mensaje original lo más posible entre el mensaje cifrado (Difusión). El objetivo del presente no es entrar en detalles de cada uno de los muchos algoritmos existentes, por lo que sólo se dará una idea de su funcionamiento y complejidad. 4.7 Test de Penetración - Pruebas de Vulnerabilidad El Test de Penetración es un conjunto de metodologías y técnicas, para realizar una evaluación integral de las debilidades de los sistemas informáticos. Consiste en un modelo que reproduce intentos de acceso, a cualquier entorno informático, de un intruso potencial desde los diferentes puntos de entrada que existan, tanto internos como remotos. El objetivo general del Test de Penetración es acceder a los equipos informáticos de la organización tratada e intentar obtener los privilegios del administrador del sistema, logrando así realizar cualquier tarea sobre dichos equipos. También se podrá definir otros objetivos secundarios que permitan realizar pruebas puntuales sobre algunos ámbitos particulares de la empresa. El Test de Penetración se compone de dos grandes fases de testeo: Test de Penetración Externo: el objetivo es acceder en forma remota a los equipos de la organización y posicionarse como administrador del sistema. 141

160 Se realizan desde fuera del Firewall y consisten en penetrar la Zona Desmilitarizada para luego acceder a la red interna. Se compone de un elevado número de pruebas, entre las que se puede nombrar: o o o o o o o o o o Pruebas de usuarios y la fuerza de sus passwords. Captura de tráfico. Detección de conexiones externas y sus rangos de direcciones. Detección de protocolos utilizados. Scanning de puertos TCP, UDP e ICMP. Intentos de acceso vía accesos remotos, módems, Internet, etc. Análisis de la seguridad de las conexiones con proveedores, trabajadores remotos o entidades externas a la organización. Pruebas de vulnerabilidades existentes y conocidas en el momento de realización del Test. Prueba de ataques de Denegación de Servicio. Test de Penetración Interno: Este tipo de testeo trata de demostrar cual es el nivel de seguridad interno. Se deberá establecer que puede hacer un Insider y hasta donde será capaz de penetrar en el sistema siendo un usuario con privilegios bajos. Este Test también se compone de numerosas pruebas: Análisis de protocolos internos y sus vulnerabilidades. Autenticación de usuarios. Verificación de permisos y recursos compartidos. Test de los servidores principales (WWW, DNS, FTP, SMTP, etc.). Test de vulnerabilidad sobre las aplicaciones propietarias. 4.8 Políticas y Gestión de la Seguridad El término política de seguridad se suele definir como el conjunto de requisitos definidos por los responsables directos o indirectos de un sistema que indica en términos generales qué está y qué no está permitido en el área de seguridad durante la operación general de dicho sistema. 142

161 Al tratarse de `términos generales', aplicables a situaciones o recursos muy diversos, suele ser necesario refinar los requisitos de la política para convertirlos en indicaciones precisas de qué es lo permitido y lo denegado en cierta parte de la operación del sistema, lo que se denomina política de aplicación específica. Una política de seguridad puede ser prohibitiva, si todo lo que no está expresamente permitido está denegado, o permisiva, si todo lo que no está expresamente prohibido está permitido. Evidentemente la primera aproximación es mucho mejor que la segunda de cara a mantener la seguridad de un sistema; en este caso la política contemplaría todas las actividades que se pueden realizar en los sistemas, y el resto - las no contempladas - serían consideradas ilegales. Cualquier política ha de contemplar seis elementos claves en la seguridad de un sistema informático: Disponibilidad: Es necesario garantizar que los recursos del sistema se encontrarán disponibles cuando se necesitan, especialmente la información crítica. Utilidad: Los recursos del sistema y la información manejada en el mismo ha de ser útil para alguna función. Integridad: La información del sistema ha de estar disponible tal y como se almacenó por un agente autorizado. Autenticidad: El sistema ha de ser capaz de verificar la identidad de sus usuarios, y los usuarios la del sistema. Confidencialidad: La información sólo ha de estar disponible para agentes autorizados, especialmente su propietario. Posesión: Los propietarios de un sistema han de ser capaces de controlarlo en todo momento; perder este control en favor de un usuario malicioso compromete la seguridad del sistema hacia el resto de usuarios. Para cubrir de forma adecuada los seis elementos anteriores, con el objetivo permanente de garantizar la seguridad corporativa, una política se suele dividir en puntos más concretos a veces llamados normativas (aunque las definiciones concretas de cada documento que conforma la infraestructura de nuestra política de seguridad - política, normativa, estándar, procedimiento operativo...- es algo en lo que ni los propios expertos se ponen de acuerdo). El estándar ISO ([Sta00]) define las siguientes líneas de actuación: 143

162 Seguridad organizacional. Aspectos relativos a la gestión de la seguridad dentro de la organización (cooperación con elementos externos, outsourcing, estructura del área de seguridad...). Clasificación y control de activos. Inventario de activos y definición de sus mecanismos de control, así como etiquetado y clasificación de la información corporativa. Seguridad del personal. Formación en materias de seguridad, clausulas de confidencialidad, reporte de incidentes, monitorización de personal... Seguridad física y del entorno. Bajo este punto se engloban aspectos relativos a la seguridad física de los recintos donde se encuentran los diferentes recursos - incluyendo los humanos - de la organización y de los sistemas en sí, así como la definición de controles genéricos de seguridad. Gestión de comunicaciones y operaciones. Este es uno de los puntos más interesantes desde un punto de vista estrictamente técnico, ya que engloba aspectos de la seguridad relativos a la operación de los sistemas y telecomunicaciones, como los controles de red, la protección frente a malware, la gestión de copias de seguridad o el intercambio de software dentro de la organización. Controles de acceso. Definición y gestión de puntos de control de acceso a los recursos informáticos de la organización: contraseñas, seguridad perimetral, monitorización de accesos... Desarrollo y mantenimiento de sistemas. Seguridad en el desarrollo y las aplicaciones, cifrado de datos, control de software... Gestión de continuidad de negocio. Definición de planes de continuidad, análisis de impacto, simulacros de catástrofes... Requisitos legales. Evidentemente, una política ha de cumplir con la normativa vigente en el país donde se aplica; si una organización se extiende a lo largo de diferentes paises, su política tiene que ser coherente con la normativa del más restrictivo de ellos. En este apartado de la política se establecen las relaciones con cada ley: derechos de propiedad intelectual, tratamiento de datos de carácter personal, exportación de cifrado... junto a todos los aspectos relacionados con registros de eventos en los recursos (logs) y su mantenimiento. 4.9 Descripción de Algunas Tecnologías de Control y Seguimiento de Accesos En este apartado se encuentran aquellas herramientas que nos permitirán tener una información, mediante archivos de trazas o logísticos d todos los intentos de conexión que se han producido sobre nuestro sistema o sobre otro que nosotros hayamos señalado, así como intentos de ataque de forma sistemática a puertos tanto de TCP como de UDP. Este tipo de herramientas nos permite tener un control sobre todos los paquetes que entran por la 144

163 interfaz de red de la maquina: IP (TCP, UDP) e ICMP, o analizando paquetes a nivel de aplicaciones (TELNET, FTP, SMTP, LOGIN, SHELL, etc.). Estas herramientas pueden ser utilizadas junto con otras que nos permitan definir desde qué maquinas permitimos ciertas conexiones y cuales se prohíben. Algunas herramientas se describen a continuación: TCP WRAPPERS: Es un software de dominio público desarrollado por Wietse Venema. Su función principal es: proteger a los sistemas de conexiones no deseadas a determinados servicios de red, permitiendo a su vez ejecutar determinados comandos ante determinadas acciones de forma automática. Con este paquete podemos monitorear y filtrar peticiones entrantes a distintos servicios TCP-IP, como: SYSTAT, FINGER, FTP, RLOGIN, RSH, REXEC, TFTP, TALK. NETLOG: Es una herramienta que genera trazas referentes a servicios basados en IP (TCP, UDP) e ICMP, así como tráfico en la red (los programas pueden ejecutarse en modo promiscuo) que pudiera ser (sospechoso) y que indicara un posible ataque a una máquina. El paquete está formado por el siguiente conjunto de programas: TCPLOGGER: Este programa escucha todos los servicios sobre TCP, dejando una traza de cada servicio en un archivo de trazas, indicando la hora, la máquina origen y el puerto de esa conexión. UDPLOGGER: Es semejante a tcplogger, pero para los servicios sobre UDP. ICMPLOGGER: Se encarga de trazar el tráfico de ICMP. Puede guardar su información en ASCII o en formato binario. El programa dispone de una herramienta (extract) que permite consultar los archivos de trazas dándole patrones de búsqueda, como puede ser el tráfico desde una red concreta, puertos, etc. ETHERSCAN: Es una herramienta que monitorea la red buscando ciertos protocolos con actividad inusual, como pueden ser conexiones tftp, en este caso, si se han realizado con éxito nos indica que archivos se han llevado, comandos en el puerto de sendmail como vrtf. NSTAT: Esta herramienta que originalmente fue diseñada para obtener estadísticas de uso de varios protocolos, se puede utilizar para detectar cambios en los patrones de uso de red, que nos puedan hacer sospechar que algo raro está pasando en la misma. 145

164 TCPDUMP: Imprime las cabeceras de los paquetes que pasan por una interfaz de red. Este programa es posible ejecutarlo en modo promiscuo con lo que tendremos las cabeceras de los paquetes que viajan por la red. SATAN (SECURITY ADMINISTRATOR TOOL FOR ANALYZING NETWORKS): Chequea máquinas conectadas en red y genera información sobre el tipo de máquina, qué servicios da cada máquina y avisa de algunos fallos de seguridad que tengan dichas máquinas. Una de las ventajas de SATAN frente a otros paquetes, es que utiliza una interfaz de WWW, va creando una base de datos de todas las maquinas chequeadas y las va relacionando entre ellas. SATAN ha sido diseñado como una herramienta de seguridad par ayudar a administradores de sistemas y redes, pero también puede ser utilizada par a atacar a sistemas y descubrir la topología de la red de una organización. SATAN es capaz de checar maquinas por subredes, con lo que quedan al descubierto todas las máquinas que se encuentran conectadas en dicha subred. Para terminar, algunos de los fallos de seguridad que SATAN es capaz de detectar son: Acceso vía rexec Vulnerabilidades en el sedmail Acceso vía tftp ISS (INTERNET SECURITY SCANNER): Checa una serie de servicios para comprobar el nivel de seguridad que tiene esa máquina. ISS es capaz de checar una dirección IP o un rango de direcciones IP. ISS se puede ejecutar con varias opciones y la salida se deja en un archivo. Además, si ha podido traerse el archivo de password de la maquina checada, creará un archivo aparte con la dirección IP de la máquina. NOCOL (NETWORK OPERATIONS CENTER ON-LINE): Es un conjunto de programas de monitoreo de sistemas y redes. El software es un conjunto de agentes que recogen información y escriben la salida en un formato que se puede, luego, procesar. Entra las cosas que pueden ser controladas por este software tenemos: Monitor de ICMP (usando ping o multiping) Carga en la red (ancho de banda) Monitor de puertos TCP Monitor de servidor de nombres 146

165 4.9.1 Tecnologías que Chequean la Integridad del Sistema Tenemos una serie de herramientas que nos ayudarán a proteger nuestro sistema. Para conseguirlo, tenemos dos tipos de herramientas. Las primeras, se basan en chequeos a los archivos. Las segundas, nos alertan de posibles modificaciones de archivos y de programas sospechosos que puedan estar ejecutándose en la máquina de forma camuflada. TRIPWIRE: Es una herramienta que comprueba la integridad de los sistemas de archivos y ayuda al administrador a monitorizar éstos frente a modificaciones no autorizadas. Esta herramienta avisa al administrador de cualquier cambio o alteración de archivos en la máquina. El programa crea una base de datos con un identificador por cada archivo analizado y puede comparar, en cualquier momento, el actual con el registro en la base de datos, avisando ante cualquier alteración, eliminación o inclusión de un nuevo archivo en el sistema de archivos. CPM (CHECK PROMISCUOUS MODE): Este programa checa la interfaz de red de la maquina descubriendo si esta siendo utilizada en modo promiscuo (escuchando todo el trafico de la red). Esta herramienta es muy útil, porque nos alerta de la posible existencia de un sniffer que intente capturar información en nuestra red como pueda ser las password. IFSTATUS: Descubre si una interfaz de red está siendo utilizada en modo promiscuo para capturar información en la red. TRINUX: Contiene las últimas versiones de las más populares herramientas de seguridad en redes y es usado para mapear y monitorear redes TCP/IP. Las aplicaciones que trae, principalmente, son: Mal: soporte simple de correo saliente usando el mail. Netmon: herramienta de monitoreo y sniffers Web: cliente lynx Win32: herramientas de seguridad para windows95/nt Tecnologías para la Detección de Vulnerabilidades en la Red Una organización puede utilizar herramientas para su evaluación de vulnerabilidades, que permiten conocer, la situación real de un sistema y mejorar su seguridad, verificando que los mecanismos de seguridad funcionan correctamente. Así mismo, estas herramientas pueden analizar y evaluar las vulnerabilidades del sistema informático, estableciendo un ranking de su severidad. A continuación se describen algunas herramientas para la detección de vulnerabilidades: 147

166 NESSUS: Es un programa de escaneo de vulnerabilidades en diversos sistemas operativos. Consiste en nessusd, el daemon nessus, que realiza el escaneo en el sistema objetivo, y nessus, el cliente que muestra el avance y reporte de los escaneos. Desde consola nessus puede ser programado para hacer escaneo programado con cron. En operación normal, NESSUS comienza escaneando los puertos con NMAP con su propio escáner de puertos para buscar puertos abiertos y después intentar varios exploits para atacarlo. Las pruebas de vulnerabilidad, disponibles como una larga lista de plugins, son escritos en NASL (Nessus Attack Scripting Language, Lenguaje de Scripting de Ataque NESSUS por las siglas en ingles), un lenguaje scripting optimizado para interacciones personalizadas en redes. Opcionalmente, los resultados del escaneo pueden ser exportados en reportes en varios formatos, como texto plano, XML, HTML y LATEX. Los resultados también pueden ser guardados en una base de conocimiento para referencia en futuros escaneos de vulnerabilidades. Algunas de las pruebas de vulnerabilidades de NESSUS pueden causas puede causar que los servicios o sistemas operativos se corrompan y caigan. El usuario puede evitar esto desactivando unsafe test (pruebas no seguras) antes de escanear. NMAP: Es un programa de código abierto que sirve para efectuar rastreo de puertos TCP y UDP atribuido a Fyodor. Se usa para evaluar la seguridad de sistemas informáticos, así como para descubrir servicios o servidores en una red informática. Sus características principales son: 1) Descubrimiento de servidores: Identifica computadoras en red, por ejemplo listando aquellas que responden a ping. 2) Identifica puertos abiertos en una computadora objetivo. 3) Determinar que sistema operativo y versión utiliza dicha computadora, (esta técnica es también conocida como fingerprinting). 4) Obtiene algunas características del hardware de red de la maquina objeto de la prueba (sistema operativo, fecha, hora, etc.). GFI LANGUARD: Es un escáner de seguridad que sirve para detectar, evaluar y corregir vulnerabilidades de la seguridad con el mínimo esfuerzo administrativo. GFI LANGUARD tiene 3 herramientas poderosas como lo son. La gestión de la vulnerabilidad: Analiza el estado de la red de seguridad y toma decisiones. La administración de parches: Implementa y administra eficazmente parches en todas las maquinas a través de diferentes sistemas operativos, se pueden descargar automáticamente las actualizaciones de Microsoft. 148

167 Auditoria de red: Te dice todo lo que necesitas saber sobre el hardware de red de información sobre la recuperación de la memoria, procesadores, adaptadores de pantalla, dispositivos de almacenamiento, bases de datos, impresoras y puertos ya en uso. El uso de comparaciones de referencia se puede comprobar si se ha añadido algún hardware o eliminado desde el último análisis. GFI Languard informara acerca de la identificación de instalaciones no autorizadas de software y proporcionara alertas automáticamente e incluso desinstalara aplicaciones no autorizadas. Con la información obtenida de estas herramientas es posible justificar la implantación de nuevas medidas de seguridad y la obtención de mas recursos económicos, asi como priorizar las medidas a implantar en función de las vulnerabilidades detectadas, seleccionando aquellas que resulten más adecuadas teniendo en cuenta la relación coste beneficio. Así, por ejemplo, en la revisión de equipos y servidores se deberían analizar y evaluar los siguientes aspectos: Parches del Sistema Operativo Seguridad de los Sistemas de Ficheros Cuentas de Usuarios Servicios y aplicaciones instaladas Protocolos y servicios de red Control de acceso a los recursos Registro y auditoria de eventos Configuración de las herramientas de seguridad: antivirus, cortafuegos personales, gestores de copias de seguridad. A la hora de utilizar una de estas herramientas para el análisis y evaluación de vulnerabilidades en un sistema informático, debemos tener en cuenta varios aspectos importantes para garantizar el éxito de las pruebas realizadas en el sistema: Definición en el alcance y objetivo de las pruebas a realizar Conocimiento y experiencia del equipo que analiza las vulnerabilidades y realiza las pruebas de intrusión en el sistema. Nivel de automatización de las pruebas realizadas, contando con el apoyo de las herramientas y metodologías adecuadas. Actualización periódica de la base de datos de vulnerabilidades a analizar. Controlar y limitar los posibles riesgos que se deriven de las pruebas: disminución del rendimiento de los equipos, denegación del servicio, exposición de información sensible. Realización de las pruebas de forma periódica o en momentos puntuales (antes de la puesta en producción de un nuevo sistema, por ejemplo). 149

168 Registrar las puntuaciones y resultados obtenidos en las distintas pruebas realizadas, para poder analizar la evolución en el tiempo de la seguridad en la organización. Asimismo, es importante elaborar una completa documentación con los resultados de las pruebas, constituida por lo menos, por este tipo de documentos: Resumen ejecutivo dirigido al personal no técnico, con una breve descripción de los trabajos realizados, las principales conclusiones y recomendaciones de forma clara y sencilla (tratando de no abusar de la terminología técnica). Informe sencillo y detallado, que describa el sistema objeto de estudio y los recursos analizados, todas las pruebas realizadas, las vulnerabilidades que han sido detectadas y las medidas propuestas para remediarlas y mejorar la seguridad del sistema. Por otra parte, en estos últimos años se han propuesto distintos estándares para asegurar la calidad de los trabajos realizados y su evaluación por parte de terceros: Asi, por ejemplo, OSSTM (Open Source Security Testing Methodology Manual) del ISECOM (Institute for Security and Open Methodologies) es un manual con una serie de secciones compuestas por modulos que incluyen las distintas pruebas que se podrían realizar en una auditoria técnica de seguridad: seguridad física, seguridad para la información seguridad de los procesos, seguridad de las tecnologías de Internet (para ofrecer servicios y conectarse a Internet), seguridad en comunicaciones inalámbricas, etc. En el manual no se detallan de forma exhaustiva las pruebas sino que simplemente se indica que pruebas habría que realizar. También podríamos citar las recomendaciones del proyecto OSWAP (Open Web Application Security Project) para evaluar la seguridad de las aplicaciones Web asi como la guía de pruebas de seguridad de red (Gudeline on Network Security Testing) del NIST (National Institute of Standars and Technology), definida en el estándar NIST SP Para la identificación de las distintas vulnerabilidades se suele utilizar un estándar como el CVE (Common Vulnerabilities and Exposures, Vulnerabilidades y Exposiciones Comunes), que se encarga de asignar un identificador único a cada vulnerabilidad publicada, facilitando de este modo su seguimiento y control. El estándar CVE se emplea a la hora de publicar parches por parte de los fabricantes, asi como en los informes de las herramientas automaticas de análisis de vulnerabilidades. No obstante, la organización también puede identificar vulnerabilidades específicas de sus propias aplicaciones desarrolladas a medida. 150

169 Ningún problema verdadero tiene solución. En cada problema grande hay un problema pequeño que lucha por salir. Y En cada problema pequeño hay un problema grande que lucha por salir. Leyes de Smith Hoare Schainker (Leyes de Murphy) En el presente capitulo el objetivo principal es enfocarnos a aplicar nuestro Modelo de Seguridad para determinar los Riesgos, Amenazas y Vulnerabilidades de las Redes de Datos en donde se abordan las técnicas de un análisis de riesgos que ayudan a la detección y medición de vulnerabilidades así como a la reducción de los riesgos en una Red de Datos mayormente utilizadas por las consultorías que ofrecen este servicio como aseguramiento de la calidad de la red, en donde se desarrollará el análisis de riesgos para observar el comportamiento de los efectos que produce esta aplicación en cuanto a seguridad física, lógica y de comunicaciones.

170 5.1 Introducción En el capítulo que a continuación se muestra es el resultado del análisis hecho en los capítulos anteriores, para obtener un modelo de seguridad para la medición de vulnerabilidades y reducción de riesgos en las redes de datos. Se parte desde los métodos de recopilación de información que brinden datos de interés que permitan identificar los activos de la organización a proteger, así como también los factores de riesgo a los cuales se ve expuesta la red de datos de dicha organización, por otra parte se pretende identificar las vulnerabilidades, amenazas y riesgos, deducir mediante las pruebas y herramientas empleadas la infraestructura de la red, en medida de lo posible y llegar al objeto de nuestro modelo de seguridad para la medición de vulnerabilidades y reducción de riesgos en las redes de datos. Una vez realizado el estudio previo, se procederá a buscar vulnerabilidades, amenazas y riesgos que se estén corriendo para probar una a una dichas vulnerabilidades, amenazas y riesgos, analizar los resultados obtenidos como respuesta de la Red de Datos de la Organización y así burlar la seguridad de la misma, documentando cada una de las técnicas empleadas para este efecto y obteniendo evidencia que sustente la redacción del informe final, que será entregado al personal encargado de la Red de Datos de la Organización. Cabe señalar, que el modelo propuesto se basa en verificar, probar e intentar vulnerar aquellos agujeros de seguridad que puedan estar presentes en la red de datos, que se someterá a las pruebas, que de alguna forma han pasado inadvertidos por los administradores, pero que al brindar un servicio a cientos e inclusive miles de personas alrededor del mundo la red está expuesta a toda hora, por lo cual, se presentan una serie de fases a cubrir por el encargado de evaluar la seguridad de la red o por cualquier otra persona responsable de la administración y seguridad para entender la manera en que puede ser atacada dicha red de datos y tomar las medidas adecuadas consideradas para evitar daños mayores fuera del alcance de este documento, cada una de las fases que componen el modelo representan los aspectos de seguridad tomados en cuenta para alcanzar una seguridad aceptable, que difícilmente un usuario inexperto o principiante puede vulnerar. 153

171 5.2 Panorama General del Modelo de Seguridad para la Medición de Vulnerabilidades y Reducción de los Riesgos en las Redes de Datos De acuerdo con el seguimiento de un análisis de riesgos y un análisis de vulnerabilidades lograremos obtener el fin deseado para nuestro modelo de seguridad para la medición de vulnerabilidades y reducción de los riesgos en las redes de datos. Realizar dichos análisis de riesgos y vulnerabilidades es laborioso y costoso. Levantar un mapa de activos y valorarlos requiere la colaboración de muchos perfiles dentro de la Organización, desde los niveles de gerencia hasta los técnicos y no solo es que haya que involucrar a muchas personas, sino que hay que lograr una uniformidad de criterio entre todos en donde es importante cuantificar los riesgos. Y esto es así, porque típicamente en un análisis de riesgos aparecen multitud de datos, la única forma de afrontar la complejidad es centrarse en lo más importante (máximo impacto, máximo riesgo) y obviar lo que es secundario o incluso despreciable. Pero si los datos no están bien ordenados, su interpretación es imposible. En resumen, un análisis de riesgos no es una tarea menor que realiza cualquier persona en sus ratos libres, esta es una tarea que requiere esfuerzo y coordinación, por lo tanto, debe ser planificada y justificada. Un análisis de riesgos es recomendable en cualquier Organización que dependa de los sistemas de informaciones y comunicaciones para el cumplimiento de su misión. En particular, en cualquier entorno donde se practique la tramitación electrónica de bienes y servicios, sea en contexto público o privado. El análisis de riesgos permite tomar decisiones de inversión en tecnología, desde la adquisición de equipos de producción hasta el despliegue de un centro alternativo para asegurar la continuidad de la actividad, pasando por las decisiones de adquisición de protecciones técnicas y de selección asi como también la capacitación del personal. Algunos elementos que necesitaremos para identificar para dichos análisis son: 1. Activos: Son los elementos del sistema de información (o estrechamente relacionados con este) que aportan valor a la Organización. 2. Amenazas: Son elementos que les pueden pasar a los activos causando un perjuicio a la Organización. 154

172 3. Protecciones (Políticas de seguridad): Son elementos de defensa desplegados para que aquellas amenazas no causen daño. Con estos elementos se puede estimar: 1. El impacto: la pérdida que se provocaría. 2. El riesgo: lo que probablemente pase. El análisis de riesgos permite analizar estos elementos de forma metódica para llegar a conclusiones con fundamento. La herramienta desarrollada por los autores del documento para determinar las vulnerabilidades se divide en cuatro secciones, que son: Determinación de activos Cuestionario al administrador de red Preguntas a usuarios Búsqueda de vulnerabilidades En el mercado existe la idea general de lo que se debe realizar para determinar las vulnerabilidades, pero en los pasos anteriormente nombrados se describe claramente el qué preguntar y qué observar. A continuación, mediante un diagrama de flujo se describirá el proceso que involucrará desarrollar nuestro modelo de seguridad para la medición de vulnerabilidades y reducción de riesgos en las redes de datos, así como se muestra en la Figura No. 32 Diagrama de Flujo del Modelo de Seguridad para la Medición de Vulnerabilidades y Reducción para las Redes de Datos. 155

173 INICIO OBTENCION DE LA INFORMACION - Información de la Red - Información de Hardware - Información de Directivas de Seguridad - Información de Software - Información de Personal Operativo - Información de Fallas.Información de los Activos - Información de los Factores de Riesgo ANALISIS DE INFORMACION - Identificación de los Activos - Identificación de Factores de - Identificación de Vulnerabilidades Riesgo - Identificación de Amenazas - Identificación de Riesgos - Manejo de Errores - Selección de Herramientas 1 Existen Vulnerabilidades Explotables? NO Existen Riesgos Explotables? NO Existen Amenazas Explotables? NO SI SI SI 1 EJECUTAR ATAQUE Se Realización todas las Pruebas Descritas? NO 1 SI Elaboración de Plantillas para los Informes Finales Elaboración del Informe Final FIN Figura No. 32 Diagrama de Flujo del Modelo de Seguridad para la Medición de Vulnerabilidades y Reducción para las Redes de Datos 156

174 Para llevar de forma correcta el modelo de seguridad para la medición de vulnerabilidades y reducción de riesgos en las redes de datos, es necesario evaluar la seguridad de dicha red es necesario seleccionar al personal idóneo para que efectué dichas pruebas, además de considerar los siguientes puntos: Toda la información confidencial obtenida durante las pruebas no deberá ser revelada a personas ajenas al equipo de trabajo. Las cuentas de usuarios creados durante las pruebas deberán ser borradas una vez finalizada esta. No se modificaran configuraciones, políticas y privilegios en los archivos propios del servidor, aplicaciones y software de red. Se borraran los archivos creados temporalmente durante el periodo de pruebas. No borrar los archivos de logs, así como no detener los servicios de registro de sucesos. No alterar la estructura y configuración de la Red de de Datos. Cerrar todos los puertos abiertos así como las conexiones remotas creadas durante el periodo de pruebas, una vez finalizada esta. 5.4 Obtención de la Información Encontrar que aplicaciones específicas se encuentran instaladas en la red de datos, es un elemento esencial en un test de vulnerabilidades de la red de datos. Muchas aplicaciones tienen vulnerabilidades y estrategias de ataque conocidas que pueden ser explotadas para conseguir control remoto o explotación de los datos de la aplicación. Además, muchas aplicaciones muy constantemente están mal configuradas o sin actualizar, debido a la impresión de que solo se usan internamente, por tanto, no representan ninguna amenaza; es más, muchas aplicaciones usan rutas comunes para las interfaces de administración empleadas para adivinar o atacar por fuerza bruta contraseñas administrativas. Con la proliferación de servidores web virtuales en la red de datos, la tradicional relación de una dirección IP con un servidor web 1 a 1 ha ido perdiendo su significado original. No es nada raro tener múltiples sites y aplicaciones web cuyos nombres resuelvan a la misma dirección IP (este escenario no se limita a entornos de hosting, también aplica a entornos corporativos). El problema es, que las direcciones IP dadas contienen un servicio http en el puerto 80, pero si se accede al servicio por la vía dirección IP (es toda la información conocida), te responde con un mensaje como "No existe ningún servidor configurado en esta dirección" o algo semejante y todo lo anteriormente descrito es un ejemplo de lo que vulnera a la red de datos día con día. 157

175 Para afrontar estas situaciones, es necesario realizar un descubrimiento de la infraestructura de la red de datos para iniciar las pruebas a la misma se debe empezar por identificar servicios, puertos, sistemas operativos, versiones de aplicaciones activas y toda cantidad de información que pueda ayudar al pen tester, a descubrir vulnerabilidades en la red de datos de las organizaciones. Para la obtención de la información nos basaremos en la recopilación de respuestas a cuestionarios resueltos por usuarios que hacen uso de la Red de Datos en la Organización y para ello haremos hincapié en áreas básicas de la empresa que a continuación se comienzan a describir Información basada en la Empresa En primera instancia es necesario obtener una visión general del funcionamiento de la red en la empresa, es por esto que la primera sección de preguntas al administrador se enfoca en determinar si existen conexiones hacia Internet, el tipo de esta, los datos que procesan y quienes acceden a estos. En otras palabras se pregunta por: Si la empresa posee una conexión, tales como T-1, línea DSL*, cable módem, o cualquier conexión que siempre este activa, ya que esto es una puerta abierta a intrusos y virus. El tipo de uso de la conexión y el acceso a páginas útiles al trabajo, es recomendable bloquear las peligrosas y las innecesarias. Conocer también los permisos en las estaciones de trabajo y los servidores, que los usuarios ejecuten servicios no autorizados aumenta el riesgo de un ataque. El acceso a la red, conocer quienes acceden a los recursos de la red. La existencia de conexiones remotas, esto abre puertas por donde atacar el sistema. También es importante conocer el tipo de aplicaciones que se alberga, aplicaciones para socios o clientes aumenta los riesgos en la infraestructura debido a la posibilidad de un robo, pérdida de dato o la no disponibilidad de servicios. La existencia de segmentación de la red, los recursos en el mismo segmento aumenta los riesgos porque, un ataque podría causar daños a ambos. Conocer si la empresa comparte sus oficinas con otras entidades, el compartir el entorno con empleados de otras empresas presenta un grave peligro, se puede reducir daños a materiales y datos. Ver Glosario 158

176 Y por supuesto, averiguar si la empresa sería capaz de operar sin ningún equipo, por ejemplo, se produjese un incidente viral grave que dejase fuera de línea todos los sistemas. El detalle de estas preguntas se encuentra en el Anexo II Información Básica de la Empresa, en las siguientes secciones se analiza más a fondo en el manejo de la red y del personal Cuestionario al Administrador de Red Esta evaluación se ha diseñado para identificar el riesgo en la red de la empresa y las medidas de seguridad utilizadas para mitigar dicho riesgo. Se han desarrollado preguntas con las que es posible realizar una evaluación de alto nivel de las tecnologías, los procesos y el personal de la empresa Seguridad de la Infraestructura La seguridad de las infraestructuras se centra en cómo debe funcionar la red, los procesos comerciales, cómo se crean y utilizan los hosts, la gestión y el mantenimiento de la red. La seguridad de la infraestructura efectiva puede ayudar a mejorar significativamente la defensa de la red, las reacciones a incidentes, la disponibilidad de la red y el análisis de fallos. Con esta sección de preguntas se podrá identificar las áreas de riesgos y desarrollar métodos para reducir las amenazas. La evaluación revisa los procedimientos de alto nivel que una empresa puede seguir para mitigar el riesgo de la infraestructura enfocándose en las áreas que siguen: Defensa del perímetro Autenticación Gestión y control Defensa del Perímetro En esta sección se obtiene información acerca de la seguridad del perímetro de la red, donde la red interna se conecta con el exterior, aquí debe estar el primer escudo protector contra los intrusos externos. 159

177 Se busca información de firewalls, DMZ, IDS, antivirus, redes inalámbricas, segmentación de la red, asignaciones de direcciones, VPN, y de esta última la utilización de autenticación de factores múltiples, esta requiere dos o más de las categorías siguientes: algo que sepa el usuario (ejemplo: contraseña), y algo que sea propio del usuario (ejemplo: huella digital, retina). El detalle de estas preguntas se encuentra en el Anexo III Defensa del Perímetro Autenticación Los procedimientos estrictos de autenticación de usuarios, administradores y usuarios remotos ayudan a asegurar que los intrusos no accedan sin autorización a la red mediante ataques locales o remotos. Además se debe velar por el cumplimiento de las normas de seguridad, sin los mecanismos adecuados para aplicarlas, las normas para las contraseñas generalmente se ignoran. Las políticas para las contraseñas deben cumplirse en todas las cuentas, no sólo en las de los administradores. El acceso a aplicaciones y datos sensibles debe limitarse conforme a los privilegios de cada cuenta. Es importante disponer de mecanismos para el cumplimiento de estas limitaciones a fin de evitar traspasos de información no autorizados. Para proteger el sistema frente a ataques de fuerza bruta, las cuentas deben configurarse para que no permitan el acceso después de una cantidad determinada de intentos fallidos. La mayoría de los sistemas de autenticación permite la aplicación automatizada de normas referente a la longitud, la complejidad y el vencimiento de las contraseñas, entre otros. Un punto de vital importancia es validar, los datos de entrada para evitar que las aplicaciones procesen información peligrosa o incorrecta; de lo contrario, los datos podrían estar sujetos a daños, robos, o incluso se podría ejecutar código binario. El detalle de estas preguntas se encuentra en el Anexo IV Autenticación Administración y Control La gestión, supervisión y el registro adecuados, son elementos vitales para mantener y analizar los entornos informáticos. Estas herramientas son aún más importantes después de un ataque, cuando se necesita un análisis del incidente. 160

178 Es importante utilizar imágenes documentadas para mantener la uniformidad entre todos los equipos de escritorio y las terminales de trabajo. Esta uniformidad permitirá una mayor eficacia en la detección y paralización de ataques potenciales. Así también configurar los equipos, ya que la configuración predeterminada con la que llegan se crea para maximizar las características disponibles y por lo general no se da importancia a la seguridad. También se debe robustecer los hosts, esto implica actualizar sistema operativo. Aplicar los parches adecuados, reforzar las configuraciones y auditar el acceso y las vulnerabilidades de los sistemas. Las medidas de seguridad física incluyen cables de bloqueo para equipos portátiles, armarios o racks con llave para servidores/equipos de red y guardias de seguridad. El detalle de estas preguntas se encuentra en el Anexo V Administración y Control Aplicaciones Este segmento, estudia las aplicaciones que son esenciales para la empresa y las valora desde el punto de vista de la seguridad y disponibilidad, además se examinan tecnologías utilizadas para aumentar el índice de defensa en profundidad. Se cuestiona sobre el tipo de dato que se maneja en la empresa, uso de macros para Microsoft Office, adquisición de software, actualizaciones y parches, y si la empresa está al tanto de sus vulnerabilidades. El detalle de estas preguntas se encuentra en el Anexo VI - Aplicaciones Operaciones En esta sección se valora las prácticas de funcionamiento y las normas que siguen la empresa para aumentar las estrategias de defensa en profundidad a fin de emplear más que meras defensas tecnológicas. Se estudian áreas relacionadas con la creación de sistemas, la documentación de la red, las copias de seguridad y la restauración de datos en el entorno.la revisión contempla los siguientes procedimientos: Entorno, creación del sistema, documentación de la red, flujo de datos de aplicaciones. Directiva de seguridad, protocolos y servicios, gestión de cuentas de usuarios Actualizaciones y gestión de actualizaciones, firmas de virus Copias de seguridad y recuperación, almacenamiento y pruebas. Ver Glosario 161

179 5.4.9 Entorno La seguridad de la empresa depende de los procedimientos operativos, los procesos y las pautas que se aplican en el entorno. La capacidad de los equipos de operaciones para mantener la seguridad del entorno depende en forma crucial de la documentación exacta del entorno y de las pautas. El detalle de estas preguntas se encuentra en el Anexo VII Entorno Directiva de Seguridad Al asignar niveles de prioridad a los componentes, una empresa estará más preparada para centrar sus esfuerzos de seguridad en aquellos sistemas que necesitan acceso. Disponer de una lista de este tipo también asigna una prioridad para la recuperación cuando se producen apagones. Las directivas son reglas y prácticas que especifican cómo se puede utilizar de forma adecuada un entorno informático. Si no existen directivas, no existe mecanismo alguno para definir o hacer cumplir los controles dentro del entorno. La política corporativa del uso aceptable regula el uso adecuado de los recursos corporativos, aplicaciones de red y sistemas incluidos. La sección de preguntas en el Anexo VIII Directiva de Seguridad cuestiona acerca de las directivas para todos los aspectos de seguridad, como usuarios, los sistemas y los datos Gestión de Actualizaciones y Revisiones Los procesos de gestión de cambios y configuraciones permiten asegurar que los cambios en el entorno de producción, se han probado y documentado exhaustivamente antes de utilizarse. La aparición de nuevos virus es constante, por lo que resulta imprescindible mantener una lista actualizada de firmas de virus. Su solución antivirus será tan eficaz como lo permita su lista de firmas de virus. La aplicación oportuna de actualizaciones y revisiones es necesaria para contribuir a la protección del entorno contra las vulnerabilidades conocidas y aquellas que podrían ser un frente de ataque. 162

180 Las preguntas que se encuentran en el Anexo IX Gestión de Actualizaciones y Revisiones indagan en este campo Copias de Seguridad y Recuperación Las copias de seguridad y la recuperación de datos son imprescindibles para el mantenimiento de la continuidad de los servicios comerciales en caso de un accidente o fallos de hardware o software. La falta de procedimientos adecuados para realizar copias de seguridad y recuperación podría producir una pérdida significativa de datos y de productividad. Las preguntas del Anexo X Copias de Seguridad y Recuperación intentan averiguar las medidas de respaldo que posee la empresa actualmente Personal Es necesario revisar los procesos de la empresa que regulan las directivas de seguridad corporativa, los procesos de recursos humanos, así como la formación y el grado de conocimientos de los empleados sobre la seguridad. También el centrarse en la seguridad en las operaciones diarias. Las preguntas que se encuentran en el Anexo XI Requisitos y Evaluaciones ayudan a valorar cómo se mitigan los riesgos del área de personal. Aquí se observa información como subcontratar la implantación de la infraestructura Requisitos y Evaluaciones Todos los encargados de la toma de decisiones deben comprender los requisitos de seguridad para que las decisiones comerciales y técnicas adoptadas aumenten la seguridad, en lugar de contradecirse entre sí. Las evaluaciones periódicas realizadas por terceros pueden ayudar a la empresa a revisar, evaluar e identificar las posibles mejoras. Las preguntas referentes a este campo se encuentran en el Anexo XI Requisitos y Evaluaciones 163

181 Directiva y Procedimientos Los procedimientos para contratar aspirantes y finalizar sus contratos pueden proteger a la empresa contra empleados sin escrúpulos o descontentos. Por eso es bueno contar con los procedimientos claros y prácticos, se intenta determinar cómo se encuentra la empresa en campo con las preguntas realizadas en el Anexo XII Directiva y Procedimientos Estas preguntas toman en cuenta, entre otros, lo siguiente: Comprobar el historial personal de aspirantes para identificar asuntos que puedan afectar a la seguridad de su empresa. Cuando los empleados dejan la empresa, existe la posibilidad de que lo hagan de forma hostil Formación y Conocimiento Un programa de divulgación de las medidas de seguridad mantiene a los empleados al corriente de los riesgos y vulnerabilidades presentes. Los empleados que son conscientes de su importancia benefician la seguridad general de la empresa. La formación basada en roles y el aprendizaje continuo garantizan que todos los empleados entiendan qué se espera de ellos. Para conocer cómo se desarrolla la empresa en este campo se dispone de un conjunto de preguntas que se encuentran en el Anexo XIII Formación y Conocimiento. 5.5 Evaluación del Cuestionario Una vez obtenidas las respuestas por parte del administrador se procede a evaluarlas convencionalmente, traspasando las respuestas a la herramienta EXCEL para confeccionar gráficos. En esta metodología se otorga un valor de vulnerabilidad y de seguridad para cada una de las preguntas, tal como se aprecia en la Tabla No.34 Formato Escala de Evaluación de Pregunta Tipo, posteriormente se agrupan los valores vulnerabilidad y protección de la sección a la que corresponde para desarrollar con ellos gráficos, a modo de visualizar de mejor forma los resultados. Vulnerabilidad Escala Respuesta Protección Escala Respuesta - 0 o 2 Si No lo sé - 0 o 2 No Tabla No.34 Formato Escala de Evaluación de Pregunta Tipo 164

182 En la Tabla No.35 Evaluación Pregunta 4, muestra la escala de evaluación de la pregunta número 4 de la sección Información básica de la empresa, Anexo II Información Básica de la Empresa, esta es: Los usuarios internos y externos usan los recursos del mismo segmento de red? Sí No No lo sé Dependiendo de la respuesta que entregue el administrador se asignará el valor máximo a la alternativa elegida y mínimo a la rechazada. Por ejemplo, si el administrador en la pregunta 4, responde sí comparten el mismo segmento los usuarios, lo que es un peligro para los datos de ambas parte, la tabla quedaría de la forma que se muestra en la Tabla No.35 Evaluación Pregunta 4, el caso contrario se muestra en la Tabla No.36 Evaluación Pregunta 4. Por defecto se entregan como vulnerabilidad las respuestas No lo sé. Vulnerabilidad Protección 2 0 Tabla No.35 Evaluación Pregunta 4 Vulnerabilidad Protección 2 0 Tabla No.36 Evaluación Pregunta 4 Existen algunas preguntas que dependiendo del resultado permiten contestar subpreguntas, la evaluación cambia en estos casos, observar la Tabla No.37 Formato Escala de Evaluación de Pregunta 1, se otorga mayor cantidad de puntos según la respuesta obtenida de las subpreguntas. Utilizando como ejemplo la pregunta número 1 de la sección Defensa del perímetro, la cual si obtiene como respuesta Sí, se es posible contestar otras dos preguntas. Vulnerabilidad Escala Respuesta - 0 o 2 No No lo sé - 0 o 4 Si Tabla No.37 Formato Escala de Evaluación de Pregunta 1 1. Su empresa utiliza firewall u otros controles de acceso en los perímetros de la red para proteger sus recursos? Sí No No lo sé Protección Escala Respuesta 165

183 En caso de responder Sí: 1.1. Su empresa aplica estos controles en todas las oficinas? Sí No No lo sé 1.2. Su empresa usa una red DMZ para separar redes internas y externas de los servicios albergados? Sí No No lo sé En caso de responder No, la tabla se rellena de forma normal, tal como se muestra en la Tabla No.38 Evaluación Pregunta 1. Esto se debe a que no se debe contestar las sub-preguntas. Vulnerabilidad Protección 2 0 Tabla No.38 Evaluación Pregunta 1 En caso de responder Sí a la pregunta 1, se adicionan los resultados de las subpreguntas, si los resultados son negativos en las subpreguntas, se evalúa solo con un puntaje de 2. Si la empresa posee estos equipos en todas las sedes, se adiciona 1 a la columna protección, si posee una red DMZ, se adiciona nuevamente 1 al puntaje. Por ejemplo, si posee firewall en todas sus sedes, pero no posee una red DMZ, la evaluación luciría como observa en la Tabla No.39 Evaluación Pregunta 1. Vulnerabilidad Protección 0 3 Tabla No.39 Evaluación Pregunta 1 Las distintas evaluaciones se encuentran al final de cada anexo de preguntas. 5.6Preguntas a Usuarios Para obtener una visión general de la seguridad de la red es necesario recurrir a quienes la utilizan a diario, el personal de la empresa, los que poseen la mejor apreciación del funcionamiento de la red. 166

184 A continuación se presenta un grupo de preguntas que se realizan a los usuarios, esto ayudara de manera importante a la evaluación de la seguridad de la red. 1. Sólo usted accede a este equipo? 2. Ha sido notificado de políticas de seguridad que debiese cumplir? 3. Tiene permisos para instalar cualquier tipo de programas en su estación 4. de trabajo? 5. Utiliza contraseña para iniciar sesión en su equipo? 6. Cambia regularmente su contraseña? 7. Cada cuánto tiempo cambia la contraseña? 8. Existe alguna norma o formato para la creación de la contraseña? 9. Bloquea el equipo cuando debe ausentarse? 10. Ha sido capacitado en seguridad en informática, ya sea en el cuidado al 11. descargar archivos o programas desde Internet? 12. Su estación de trabajo ha sufrido ataques de virus? 13. Ha sufrido pérdida de información en su estación de trabajo? 14. Procesa información de la empresa fuera de ella? 15. Tiene acceso ilimitado hacia Internet en su estación de trabajo? 16. Utiliza programas que no tienen relación con su labor? 17. Utiliza el correo corporativo para fines ajenos a la empresa? 18. En caso de fallar el equipo existe algún procedimiento para la reparación? 5.7 Evaluación de Preguntas a Usuario Las preguntas realizadas a usuarios van en directa relación con el cuestionario realizado al administrador de red, ya que dependiendo de las respuestas obtenidas de esta sección se procederá a mantener o disminuir el puntaje de preguntas que tengan relación con ellas en el cuestionario. Por ejemplo si el administrador en la pregunta 1.1 de la sección Autenticación, Anexo IV respondió que existen controles para usuarios Seleccione las cuentas para las cuales existen controles que hagan cumplir las políticas de seguridad por contraseña. Administrador Usuario Acceso remoto 167

185 Pero al realizar la pregunta 7 a los usuarios, estos responden No, esto implica que no se está dando cumplimiento a los controles. En la evaluación de la pregunta 1 de la sección Autenticación se descontará puntaje, tal como se muestra en la tabla 8. El puntaje a descontar depende del impacto de la vulnerabilidad, la escala variará desde 1 a 3, en caso de respuesta satisfactoria se conservará la puntuación. EVALUACION PRIMARIA EVALUACION PRIMARIA Vulnerabilidad Protección Vulnerabilidad Protección Tabla No.40 Descuento de Puntaje en la Evaluación 5.8 Análisis de la Información Identificación de los Activos Es de suma importancia determinar cuáles son los activos importantes de la organización y cuál sería el impacto que produciría si llegasen a faltar. Se debe crear una lista de los activos que posee la organización, todo aquel que tenga que ver con la red de datos y su desempeño, una vez obtenidos, estos se clasifican en una tabla de importancia, para ello utilizando el esquema de la Figura No.32, se tiene una guía para determinar el impacto que tiene el activo, la pregunta para poder clasificarlos es: qué efecto tendría en la red si el activo faltase? Al clasificarlos podemos agrupar los activos y así hacer la tarea del análisis menos complicada, es más fácil porque se pueden concentrar los esfuerzos en los activos de mayor importancia en la red. La técnica es concentrarse primero en los que su falla es inaceptable o muy importante y luego los de menor jerarquía Figura No.32 Clasificación de los Activos 168

186 Un activo es algo que tiene valor o utilidad para la organización, sus operaciones y su continuidad. Los activos necesitan protección para asegurar las correctas operaciones del negocio y la continuidad de la empresa. Cada activo debe estar claramente identificado y valorado apropiadamente, y su propietario y clasificación de seguridad acordada en la organización. El ISO 17799:2005 (Código de Práctica para la Gestión de la Seguridad de Información) clasifica los activos de la siguiente manera: 1. Activos de Información: bases de datos y archivos de datos, documentación del sistema, manuales de usuario, materiales de entrenamiento, procedimientos operativos de apoyo, planes de continuidad, 2. Documentos Impresos: documentos impresos, contratos, lineamientos, documentos de la compañía, documentos que contienen resultados importantes del negocio, 3. Activos de Software: Software de aplicación, software de sistemas, herramientas de desarrollo, 4. Activos Físicos: Equipos de comunicación y computación, medios magnéticos, otros equipos técnicos, 5. Personas: Personal, clientes, suscriptores, La tarea de clasificar los activos debe ser lo más ordenada posible, es por eso que se utiliza la Tabla No.33 Clasificación de los Activos, para listar los activos y la importancia misma que se tomara asignando un valor a la importancia que tienen en la organización, ponderada en una escala del 1 al 10. Esta importancia es un valor subjetivo que refleja el nivel de Impacto que puede tener la empresa si un incidente afecta a los activos, sin considerar las medidas de seguridad que existan sobre los mismos. En la primera fase, de clasificación de activos, en donde se rellenarán las tres columnas que se muestran en la Tabla No.33 Clasificación de los Activos. No. DE ACTIVO ACTIVOS A PROTEGER IMPORTANCIA Tabla No.33 Clasificación de Activos Identificación de los Activos Enseguida tendremos que realizar una clasificación de todos los Factores de Riesgo que pueden presentar los activos de la organización, en donde se tendrán que llenar las tres columnas que se muestran en la Tabla No.34 Factores de Riesgo. 169

187 No. DE FACTOR FACTORES DE RIESGO PROBABILIDAD Identificación de Vulnerabilidades Tabla No.34 Factores de Riesgo Para que tenga éxito el proceso de identificación de vulnerabilidades en las redes de datos se deben enmarcar varios aspectos que se relacionan entorno a la seguridad y que son de vital importancia para los administradores de los mismos, de tal forma que se pueda delimitar el problema y nos permita meternos de lleno en la seguridad garantizando el cumplimiento de confidencialidad, integridad, disponibilidad y autentificación. A este proceso se lo ha dividido en tres fases que son: Prevención Identificación Corrección Vale recalcar que estas fases están íntimamente relacionadas y cada una de ellas se realimenta de las otras en un ciclo repetitivo e iterativo, esto significa que por cada ciclo ejecutado se tendrá en el peor de los casos un listado de vulnerabilidades, con su respectivo identificador y correctivo. Figura No.33 Proceso de Identificación de las Vulnerabilidades 170

188 Figura No.34 Fase de Prevención de las Vulnerabilidades Figura No.35 Fase de Identificación de las Vulnerabilidades Figura No.36 Fase de Corrección de Vulnerabilidades 171

189 1.1. Prevención de vulnerabilidades Una forma de garantizar la seguridad de los servidores es la prevención, ya que de ésta manera podemos disminuir la aparición de vulnerabilidades así como identificar las amenazas latentes y calcular el riesgo al que se encuentran expuestos los equipos. Para ello es necesario mejorar el proceso de la seguridad de los servidores, incrementando cada día más tareas y procesos2, tales como: Determinar el riesgo de los equipos. Identificar su exposición. Gestionar sus vulnerabilidades Identificación de los Servicios Activos La correcta realización de este proceso dará como resultado, una lista de las aplicaciones o servicios que están corriendo en ese momento en la red de la organización de modo tal que se podrá reducir en gran medida la búsqueda de errores y vulnerabilidades que se harán en las pruebas de penetración. Para llevar acabo esta tarea, se hace uso del escaneo de puertos, visto en el capítulo dos, que mostrará los puertos que se encuentran abiertos y que en algunas ocasiones las aplicaciones que se tienen en la red no corren por algún puerto estándar. Un scanner de puertos como nmap, puede realizar un reconocimiento de servicios mediante la opción -sv e identificar los servicios http en puertos arbitrarios. Tecnología y Herramientas nmap Netcat Pruebas a realizar IDENTIFICADOR ACTIVIDAD Utilizar paquetes TCP con puerto origen 80, para escanear un rango de ISA-01 puertos mayor a Utilizar paquetes fragmentados en orden inverso mediante escaneo FIN, ISA-02 mostrado en el capítulo segundo, en los puertos 21, 22, 25, 80 y 443. ISA-03 Emplear el escaneo tipo SYN, en los puertos 21, 22, 25, 80, 443,1434 y Emplear escaneo tipo UDP, para enumerar los servicios y puertos empleados ISA-04 mediante este protocolo. Escanear todos los puertos (si es permitido) de manera sigilosa, usando vv ISA-05 para analizar todos los servicios activos y si es filtrado algún puerto. Tabla No.41 Pruebas a Realizar para la Identificación de Activos 172

190 Figura No. 45 Prueba Efectuada en Nmap para Puertos Abiertos Resultados Esperados 1) Lista de puertos abiertos 2) Protocolos empleados en los servicios disponibles 3) Lista de servicios activos 5.9 Pruebas de Penetración para las Vulnerabilidades en las Redes de Datos Después de haber obtenido toda la información relevante sobre la red, en la cual se inteconectan todos los servicios para la organización y datos de interés sobre el servidor y equipos de computo, se procede a examinar estos resultados de manera que sean empleadas para elegir las herramientas adecuadas, las técnicas de penetración correctas y eficientes, así como, la búsqueda de errores reportados por los fabricantes y que de alguna forma aún no se hayan solucionado en la red, o bien emprender la búsqueda de vulnerabilidades y exploits para cada servicio obtenido en la red de datos de la organización. Vulnerabilidades Asociadas La finalidad de esta sección es la identificación, comprensión y verificación de debilidades, errores de configuración y vulnerabilidades en la red de datos de la organización. 173

191 La investigación que se realice, debe incluir la búsqueda de vulnerabilidades online y listas de servicios, instalados por defecto para cada una a comprobar, de manera que la configuración por defecto que se instaló no haya cambiado en lo absoluto, lo que facilitaría la tarea del encargado al realizar las pruebas. La búsqueda de vulnerabilidades utilizando herramientas automáticas, es una forma eficiente determinar agujeros de seguridad existentes y niveles de parcheo de los sistemas, aunque muchos escáneres automáticos están actualmente tanto en el mercado, como en el mundo underground. Es importante para los auditores identificar e incorporar en las pruebas que realizan, los scripts y exploits que existen actualmente en el mundo underground; no obstante, es necesaria la verificación manual para eliminar falsos positivos. Tecnología y Herramientas LANGuard Security Scanner Metasploit Shadow Security Scanner Acunetix Web Vulnerability ISS Internet Scanner Nessus Pruebas a Realizar IDENTIFICADOR VA-01 VA-02 VA-03 VA-04 VA-05 VA-06 VA-07 ACTIVIDAD Se puede emplear LANGuard Security Scanner, para encontrar las vulnerabilidades asociadas a los servicios activos en el servidor. Realizar pruebas redundantes, al menos con 2 escáneres automáticos de vulnerabilidades. Identificar todas las vulnerabilidades relativas a las aplicaciones. Identificar todas las vulnerabilidades relativas al sistema operativo. Identificar todas las vulnerabilidades del router y Firewall. Verificar todas las vulnerabilidades encontradas durante la fase de búsqueda de exploits, con el objetivo de descartar falsos positivos y falsos negativos. Verificar todos los dispositivos. Tabla No.42 Pruebas a Realizar para la obtención de Vulnerabilidades en la Red de Datos 174

192 Resultados Esperados 1) Vulnerabilidades de servicios 2) Exploits de servicios 3) Vulnerabilidades del Firewall 5.10 Búsqueda de Vulnerabilidades Una vez realizado los pasos anteriores se posee bastante información que sin duda ayuda a realizar un buen análisis de riesgos, pero la información respondida por el administrador y usuarios es completamente fiable?, es por esto que es necesario realizar una serie de pruebas básicas para verificar las respuestas obtenidas y determinar si se da cumplimiento a las políticas existentes. Esto es claramente parte de la etapa de visita en terreno, una de las técnicas más utilizadas y efectiva es la ingeniería social ésta es aplicable tanto al administrador de red como a los usuarios finales, a veces a las personas el responder un cuestionario no les es completamente agradable, por ello es mejor hacer una especie de entrevista o conversación amena después de que haya respondido el cuestionario así se puede determinar con claridad si sus respuestas son sinceras. Las pruebas que a continuación se presentan son alguna que se pueden realizar para verificar las respuestas y determinar otras posibles vulnerabilidades. 1. Observar si el acceso es restringido a lugares de trabajo. 2. Observar si el acceso es restringido a lugares críticos, como un cuarto de telecomunicaciones. 3. Observar si los puntos de red son accesibles a extraños. 4. Revisar los programas existentes en las estaciones de trabajo, a fin de encontrar programas que no pertenecen a la labor del usuario, por ejemplo MSN, Ares. 5. Observar si la estación posee las últimas actualizaciones en el software que utiliza. 6. Revisar equipos de trabajo en momentos en que no se encuentre el usuario, para determinar si este cumple con algunas forma de seguridad básica como por ejemplo el bloqueo del equipo. 7. Poner a prueba la reacción de los usuarios, por ejemplo, intente extraer algún equipo del lugar de trabajo, previo aviso solo a los jefes de área. 8. Conéctese a la red, utilizando un Sniffer rescate paquetes y observe si estos están encriptados o si puede extraer datos importantes. 9. Observar si existen contraseñas a la vista, como por ejemplo, el uso de papeles adheridos en los equipos. 175

193 10. Observar si el lugar de trabajo esta limpio, para que no exista algún riesgo para los equipos. 11. Conectarse directamente a la red y enumerar los puertos, para esto se puede ejecutar el comando nmap ss -o, ó en caso de contar con herramientas especializadas realizar una de las siguientes operaciones: Usar escaneo SYN TCP (Half-Open) para enumerar puertos abiertos, cerrados o filtrados para aquellos puertos TCP utilizados por defecto en el test, en todos los servidores de la red. Usar escaneo TCP full connect para escanear todos los puertos por encima del 1024 en todos los servidores de la red. En el anexo XIII se encuentra un listado de los puertos que utilizan virus troyanos para ingresar a los sistemas. Las acciones antes mencionadas serán necesarias para demostrar a la jefatura de la empresa algunas de las vulnerabilidades a las que está expuesta. Estas acciones de igual forma podrán ayudar a corroborar las respuestas de los cuestionarios realizados. Si se demuestra que hay respuestas erróneas, sus puntajes serán modificados. Las acciones antes mencionadas serán necesarias para demostrar a la jefatura de la empresa algunas de las vulnerabilidades a las que está expuesta. Estas acciones de igual forma podrán ayudar a corroborar las respuestas de los cuestionarios realizados. Si se demuestra que hay respuestas erróneas, sus puntajes serán modificados Pruebas de Penetración para los Ataques a Nivel de Red El núcleo de este documento se centra en este apartado, en el cual, se describen las pruebas que deben de realizarse en la red y en cada una de las partes que la componen, se empezará por atacar la red que da soporte a las comunicaciones de los servidores, con el objetivo de lograr acceder de manera privilegiada a la red interna y así encontrar mayor información de los servidores. Ataques a Nivel de Red Como se mencionó anteriormente, este es el punto de entrada a los ataques que se llevarán acabo en todas las fases de las pruebas de penetración, es por ello, que se debe vulnerar la red para saber que tan débil puede ser dicha red. 176

194 Tecnología y Herramientas Netcat Nmap Nemesis TCPtraceroute Hping2 LANGuard Nessus FTP Shadow Security Scan Framework Metasploit Acunetix Web Vulnerability 177

195 Pruebas a realizar IDENTIFICADOR ANR-01 ANR-02 ANR-03 ANR-04 ACTIVIDAD Descubrir puertos claves abiertos en el ruteador. Emplear técnicas de firewallking sobre el ruteador, para observar los paquetes aceptados Obtener un exploit para el modelo del Firewall y lanzarlo. Realizar una conexión inversa de FTP. Tabla No.43 Pruebas a Realizar para la obtención de Ataques a Nivel de Red Resultados Esperados 1) Lista de IP s privadas 2) Acceso a la red interna Pruebas de Penetración para la Selección de Herramientas Para cada servicio descubierto en la Red de Datos, se debe buscar cuidadosamente las herramientas automatizadas que se pueden emplear, es decir, aquellos programas que le ayudarán a encontrara fallas, vulnerabilidades, mala configuración, falsificar datos, etc., para reducir de manera significativa el tiempo empleado al probar cada vulnerabilidad encontrada en la Red de Datos de la Organización. Tecnología y Herramientas Google Web Browser 178

196 Pruebas a realizar IDENTIFICADOR SH-01 SH-02 SH-03 SH-04 SH-05 ACTIVIDAD Adquirir herramientas relacionadas a cada servicio descubierto. Adquirir herramientas de manipulación de paquetes TCP. Adquirir herramientas de Sniffer. Adquirir herramientas de escaneo de vulnerabilidades. Adquirir herramientas de exploits. Tabla No.44 Pruebas a Realizar para la Selección de Herramientas Algunas herramientas que ayudarán a resolver algunas dificultades son las siguientes: IP Inversa de Domaintools: / (requiere registro gratuito) Webhosting info: sintaxis: DNSstuff: (múltiples servicios disponibles) (consultas múltiples sobre dominios y direcciones IP, requiere instalación) Nmap - WebScarab: WebGoat: Antonio Parata: Dump Files by sql inference on Mysql - [SqlDumper] Brute Force Binary Tester (BFB), Un comprobador proactivo de binarios - Resultados Esperados 1) Lista de herramientas de escaneo sniffers, descubrimiento de vulnerabilidades y exploits. 2) Lista de programas de crackeo de passwords. 179

197 5.12 Análisis de Riesgos En el presente cuadro se listaran las observaciones de acuerdo a los activos y factores de riesgo listados con anterioridad, así como también se mencionara la causa que lo origino, el impacto y se establecerá una posible sugerencia que ayude a minimizar el riesgo, tal como se muestra en la Tabla No. No. Observación Causa Impacto Sugerencia Tabla No.44 Análisis de Riesgos 5.13 Calculo de Niveles de Vulnerabilidad En este cuadro se calculan los niveles de vulnerabilidad (o niveles de riesgo) en los que incurre cada activo arriba mencionado. Para esto se tiene en cuenta el nivel de importancia asignado a cada uno y la probabilidad de ocurrencia de estos riesgos. Para realizar dicho cálculo se desarrollaron las siguientes operaciones: PROBABILIDAD DE OCURRENCIA: Representan la probabilidad de que ocurran los factores de riesgo mencionados, en una escala del 1 al 3. Esta probabilidad fue evaluada teniendo en cuenta las medidas de seguridad existentes en la organización. PORCENTAJE DE LA PROBABILIDAD DEL RIESGO: Se calcula el porcentaje de probabilidad de que ocurra un determinado factor de riesgo, con respecto a la cantidad de factores de riesgo intervinientes para dicho activo. Esto es debido a que cada activo está afectado por un número diferente de riesgos posibles, de manera que este cálculo sirve para obtener un porcentaje de probabilidades equilibrado por igual para cualquier activo, independientemente de la cantidad de factores de riesgo que lo afectan. NIVEL DE VULNERABILIDAD: En este momento interviene el nivel de importancia, multiplicando al porcentaje de probabilidad del riesgo. De esta forma se obtiene el nivel de vulnerabilidad de cada activo con respecto a un factor de riesgo. La suma de estos valores es el nivel de vulnerabilidad total que corresponde a cada activo. 180

198 No. DEL ACTIVO NOMBRE DEL ACTIVO NIVEL DE IMPORTANCIA FACTOR DE RIESGO PROBABILIDAD DE OCURRENCIA % PROBABILIDAD RIESGOS NIVEL DE VULNERABILIDAD Acceso No Autorizado Corte de Luz Destrucción de un Componente Error de Configuración 1 Servidores y Switch Central 10 Factores Ambientales Limite de Vida Util - Maquinas Obsoletas Mal mantenimiento Modificación no Autorizada de Datos Robo Virus Cantidad de Factores de Riesgo =

199 No. DEL ACTIVO NOMBRE DEL ACTIVO NIVEL DE IMPORTANCIA FACTOR DE RIESGO PROBABILIDAD DE OCURRENCIA % PROBABILIDAD RIESGOS NIVEL DE VULNERABILIDAD Acceso No Autorizado a Datos (Borrado, Aplicaciones sin Licencia Conocimiento Insuficiente de los Documentos de Requerimientos en el Desarrollo Error de Configuracion 2 Softrware de Aplicación, Programas Fuente, Sistemas Operativos 9 Errores en las funciones de encriptación Falla del Sistema Falta de Compatibilidad Falta de Confidencialidad Mala Administración de Control de Acceso (Salto de Login, etc) Pérdida de Datos Poca Adaptación a Cambios del Sistema Prueba del Software Deficiente Software Desactualizado Virus Cantidad de Factores de Riesgo =

200 No. DEL ACTIVO NOMBRE DEL ACTIVO NIVEL DE IMPORTANCIA FACTOR DE RIESGO Copia no autorizada de un medio de datos PROBABILIDAD DE OCURRENCIA % PROBABILIDAD RIESGOS NIVEL DE VULNERABILIDAD Errores en las funciones de encriptación Falla en medios externos Mala integridad de los datos 3 Datos de Transito, datos de Configuración y Datos en Medios Externos 8 Medios de datos no están disponibles cuando son necesarios Pérdida de confidencialidad de datos privados y de sistema Pérdida de datos en tránsito Portapapeles, impresoras o directorios compartidos Robo por uso de laptops Sabotaje Spoofing y sniffing Virus Cantidad de Factores de Riesgo =

201 No. DEL ACTIVO NOMBRE DEL ACTIVO NIVEL DE IMPORTANCIA FACTOR DE RIESGO Administración Impropia del Sistema de IT (Roles y Responsabilidades) PROBABILIDAD DE OCURRENCIA % PROBABILIDAD RIESGOS NIVEL DE VULNERABILIDAD Almacenamiento de passwords negligente 4 Administrador de Sistemas (Departamento de Sistemas) 7 Configuración Impropia Correo Electrónico Errores de Configuración y Operación Falta de Auditorias en Sistema Operativo Mal uso de Derechos de Administrador Mala Evaluación de Datos de Auditoria Cantidad de Factores de Riesgo = 7 No. DEL ACTIVO NOMBRE DEL ACTIVO NIVEL DE IMPORTANCIA FACTOR DE RIESGO PROBABILIDAD DE OCURRENCIA % PROBABILIDAD RIESGOS NIVEL DE VULNERABILIDAD Ancho de Banda Insuficiente Conexión de Cables Inadmisible Daño de Cables Inadvertido Factores Ambientales 5 Cableado, Antenas, Switch, Hubs, Módems 9 Interferencias Límite de Vida Útil Longitud de los Cables de Red Excedida Mal mantenimiento Reducción de velocidad de transmisión Riesgo por el personal de limpieza o personal externo Cantidad de Factores de Riesgo =

202 No. DEL ACTIVO NOMBRE DEL ACTIVO NIVEL DE IMPORTANCIA FACTOR DE RIESGO Abuso de puertos para el mantenimiento remoto PROBABILIDAD DE OCURRENCIA % PROBABILIDAD RIESGOS NIVEL DE VULNERABILIDAD Ausencia o falta de segmentación Complejidad en el diseño de las redes de IT Conexiones todavía activas Configuración Inadecuada de Componentes de Red 6 Red 10 Denial of Service Errores de Configuración y Operación Falla de la MAN Falta de Autentificación Mal Uso de Servicios de Mail Sincronización de Tiempo Inadecuada Spoofing y Sniffing Transporte Inseguro de Archivos Cantidad de Factores de Riesgo =

203 No. DEL ACTIVO NOMBRE DEL ACTIVO NIVEL DE IMPORTANCIA FACTOR DE RIESGO PROBABILIDAD DE OCURRENCIA % PROBABILIDAD RIESGOS NIVEL DE VULNERABILIDAD Acceso no autorizado a datos. Borrado, modificación o revelación desautorizada o inadvertida de información. Condiciones de trabajo adversas. Destrucción de un componente de hardware. Destrucción negligente de datos. Documentación deficiente. Entrada sin autorización a habitaciones. Entrenamiento de usuarios inadecuado. 7 Usuarios 8 Falta de auditores. Falta de cuidado en el manejo de la información (Ej: Password) Ingeniería social Ingeniería social inversa. Mal uso de derechos de administrador (sesiones abiertas) No-cumplimiento con las medidas de seguridad del sistema. Pérdida de confidencialidad o integridad de datos como resultado de un error humano en el sistema. Desvinculación del personal. Uso descontrolado de recursos (DoS). Cantidad de Factores de Riesgo =

204 No. DEL ACTIV O NOMBRE DEL ACTIVO NIVEL DE IMPORTANCIA FACTOR DE RIESGO PROBABILIDAD DE OCURRENCIA % PROBABILIDA D RIESGOS NIVEL DE VULNERABILIDA D Acceso no autorizado a datos. Borrado, modificación o revelación desautorizada de datos. 8 Document ación de Programa s, Hardware, Sistemas, Procedimi entos Administra tivos Locales, Manuales, etc 6 Browsing de información. Copia no autorizada de un medio de datos. Descripción de archivos inadecuada. Destrucción negligente de equipos o datos. Documentación insuficiente o faltante, funciones no documentadas. Factores ambientales. Mal interpretación. Mantenimiento inadecuado o ausente. Medios de datos no están disponibles cuando son necesarios. Robo Uso sin autorización. Virus, gusanos y caballos de Troya. Cantidad de Factores de Riesgo =

205 No. DEL ACTIVO NOMBRE DEL ACTIVO NIVEL DE IMPORTANCIA FACTOR DE RIESGO PROBABILIDAD DE OCURRENCIA % PROBABILIDAD RIESGOS NIVEL DE VULNERABILIDAD Corte de luz o UPS descargado. 9 Hardware (Teclado, Monitor, Unidades de Discos, Medios Removibles, etc) 3 Destrucción o mal funcionamiento de un componente. Factores ambientales. Limite de vida útil. Mal mantenimiento. Robo. Cantidad de Factores de Riesgo = 6 No. DEL ACTIVO NOMBRE DEL ACTIVO NIVEL DE IMPORTANCIA FACTOR DE RIESGO PROBABILIDAD DE OCURRENCIA % PROBABILIDAD RIESGOS NIVEL DE VULNERABILIDAD Factores ambientales. 10 Insumos (cintas, cartuchos de tinta, toner, papel, formularios, etc.) 2 Limite de vida útil. Recursos escasos. Uso descontrolado de recursos. Robo. Transporte inseguro de medios de datos. Cantidad de Factores de Riesgo = 6 188

206 No. DEL ACTIVO NOMBRE DEL ACTIVO NIVEL DE IMPORTANCIA FACTOR DE RIESGO PROBABILIDAD DE OCURRENCIA % PROBABILIDAD RIESGOS NIVEL DE VULNERABILIDAD Falta de espacio de almacenamiento. Mala configuración del Schedule de backups. Medios de datos no están disponibles cuando son necesarios. 11 Datos de Usuarios 3 Pérdida de backups. Pérdida de confidencialidad en datos privados y de sistema. Portapapeles, impresoras o directorios compartidos. Robo. Sabotaje. Spoofing y sniffing. Virus. Cantidad de Factores de Riesgo =

207 5.13 Calculo de Niveles de Vulnerabilidad (1 al 3) No. DEL ACTIVO NOMBRE DEL ACTIVO NIVEL DE IMPORTANCIA FACTOR DE RIESGO PROBABILIDAD DE OCURRENCIA % PROBABILIDAD RIESGOS NIVEL DE VULNERABILIDAD Acceso No Autorizado Corte de Luz Destrucción de un Componente Error de Configuración 1 Servidores y Switch Central 3 Factores Ambientales Limite de Vida Util - Maquinas Obsoletas Mal mantenimiento Modificación no Autorizada de Datos Robo Virus Cantidad de Factores de Riesgo =

208 No. DEL ACTIVO NOMBRE DEL ACTIVO NIVEL DE IMPORTANCIA FACTOR DE RIESGO PROBABILIDAD DE OCURRENCIA % PROBABILIDAD RIESGOS NIVEL DE VULNERABILIDAD Acceso No Autorizado a Datos (Borrado, Aplicaciones sin Licencia Conocimiento Insuficiente de los Documentos de Requerimientos en el Desarrollo Error de Configuracion 2 Softrware de Aplicación, Programas Fuente, Sistemas Operativos 2 Errores en las funciones de encriptación Falla del Sistema Falta de Compatibilidad Falta de Confidencialidad Mala Administración de Control de Acceso (Salto de Login, etc) Pérdida de Datos Poca Adaptación a Cambios del Sistema Prueba del Software Deficiente Software Desactualizado Virus Cantidad de Factores de Riesgo =

209 No. DEL ACTIVO NOMBRE DEL ACTIVO NIVEL DE IMPORTANCIA FACTOR DE RIESGO Copia no autorizada de un medio de datos PROBABILIDAD DE OCURRENCIA % PROBABILIDAD RIESGOS NIVEL DE VULNERABILIDAD Errores en las funciones de encriptación Falla en medios externos Mala integridad de los datos 3 Datos de Transito, datos de Configuración y Datos en Medios Externos 3 Medios de datos no están disponibles cuando son necesarios Pérdida de confidencialidad de datos privados y de sistema Pérdida de datos en tránsito Portapapeles, impresoras o directorios compartidos Robo por uso de laptops Sabotaje Spoofing y sniffing Virus Cantidad de Factores de Riesgo =

210 No. DEL ACTIVO NOMBRE DEL ACTIVO NIVEL DE IMPORTANCIA FACTOR DE RIESGO Administración Impropia del Sistema de IT (Roles y Responsabilidades) PROBABILIDAD DE OCURRENCIA % PROBABILIDAD RIESGOS NIVEL DE VULNERABILIDAD Almacenamiento de passwords negligente 4 Administrador de Sistemas (Departamento de Sistemas) 2 Configuración Impropia Correo Electrónico Errores de Configuración y Operación Falta de Auditorias en Sistema Operativo Mal uso de Derechos de Administrador Mala Evaluación de Datos de Auditoria Cantidad de Factores de Riesgo = 7 No. DEL ACTIVO NOMBRE DEL ACTIVO NIVEL DE IMPORTANCIA FACTOR DE RIESGO PROBABILIDAD DE OCURRENCIA % PROBABILIDAD RIESGOS NIVEL DE VULNERABILIDAD Ancho de Banda Insuficiente Conexión de Cables Inadmisible Daño de Cables Inadvertido Factores Ambientales 5 Cableado, Antenas, Switch, Hubs, Módems 3 Interferencias Límite de Vida Útil Longitud de los Cables de Red Excedida Mal mantenimiento Reducción de velocidad de transmisión Riesgo por el personal de limpieza o personal externo Cantidad de Factores de Riesgo =

211 No. DEL ACTIVO NOMBRE DEL ACTIVO NIVEL DE IMPORTANCIA FACTOR DE RIESGO Abuso de puertos para el mantenimiento remoto PROBABILIDAD DE OCURRENCIA % PROBABILIDAD RIESGOS NIVEL DE VULNERABILIDAD Ausencia o falta de segmentación Complejidad en el diseño de las redes de IT Conexiones todavía activas Configuración Inadecuada de Componentes de Red 6 Red 3 Denial of Service Errores de Configuración y Operación Falla de la MAN Falta de Autentificación Mal Uso de Servicios de Mail Sincronización de Tiempo Inadecuada Spoofing y Sniffing Transporte Inseguro de Archivos Cantidad de Factores de Riesgo =

212 No. DEL ACTIVO NOMBRE DEL ACTIVO NIVEL DE IMPORTANCIA FACTOR DE RIESGO PROBABILIDAD DE OCURRENCIA % PROBABILIDAD RIESGOS NIVEL DE VULNERABILIDAD Acceso no autorizado a datos. Borrado, modificación o revelación desautorizada o inadvertida de información. Condiciones de trabajo adversas. Destrucción de un componente de hardware. Destrucción negligente de datos. Documentación deficiente. Entrada sin autorización a habitaciones. Entrenamiento de usuarios inadecuado. 7 Usuarios 2 Falta de auditores. Falta de cuidado en el manejo de la información (Ej: Password) Ingeniería social Ingeniería social inversa. Mal uso de derechos de administrador (sesiones abiertas) No-cumplimiento con las medidas de seguridad del sistema. Pérdida de confidencialidad o integridad de datos como resultado de un error humano en el sistema. Desvinculación del personal. Uso descontrolado de recursos (DoS). Cantidad de Factores de Riesgo =

213 No. DEL ACTIV O NOMBRE DEL ACTIVO NIVEL DE IMPORTANCIA FACTOR DE RIESGO PROBABILIDAD DE OCURRENCIA % PROBABILIDA D RIESGOS NIVEL DE VULNERABILIDA D Acceso no autorizado a datos. Borrado, modificación o revelación desautorizada de datos. 8 Document ación de Programa s, Hardware, Sistemas, Procedimi entos Administra tivos Locales, Manuales, etc 2 Browsing de información. Copia no autorizada de un medio de datos. Descripción de archivos inadecuada. Destrucción negligente de equipos o datos. Documentación insuficiente o faltante, funciones no documentadas. Factores ambientales. Mal interpretación. Mantenimiento inadecuado o ausente. Medios de datos no están disponibles cuando son necesarios. Robo Uso sin autorización. Virus, gusanos y caballos de Troya. Cantidad de Factores de Riesgo =

214 No. DEL ACTIVO NOMBRE DEL ACTIVO NIVEL DE IMPORTANCIA FACTOR DE RIESGO PROBABILIDAD DE OCURRENCIA % PROBABILIDAD RIESGOS NIVEL DE VULNERABILIDAD Corte de luz o UPS descargado. 9 Hardware (Teclado, Monitor, Unidades de Discos, Medios Removibles, etc) 3 Destrucción o mal funcionamiento de un componente. Factores ambientales. Limite de vida útil. Mal mantenimiento. Robo. Cantidad de Factores de Riesgo = 6 No. DEL ACTIVO NOMBRE DEL ACTIVO NIVEL DE IMPORTANCIA FACTOR DE RIESGO PROBABILIDAD DE OCURRENCIA % PROBABILIDAD RIESGOS NIVEL DE VULNERABILIDAD Factores ambientales. 10 Insumos (cintas, cartuchos de tinta, toner, papel, formularios, etc.) 2 Limite de vida útil. Recursos escasos. Uso descontrolado de recursos. Robo. Transporte inseguro de medios de datos. Cantidad de Factores de Riesgo = 6 197

215 No. DEL ACTIVO NOMBRE DEL ACTIVO NIVEL DE IMPORTANCIA FACTOR DE RIESGO PROBABILIDAD DE OCURRENCIA % PROBABILIDAD RIESGOS NIVEL DE VULNERABILIDAD Falta de espacio de almacenamiento. Mala configuración del Schedule de backups. Medios de datos no están disponibles cuando son necesarios. 11 Datos de Usuarios 2 Pérdida de backups. Pérdida de confidencialidad en datos privados y de sistema. Portapapeles, impresoras o directorios compartidos. Robo. Sabotaje. Spoofing y sniffing. Virus. Cantidad de Factores de Riesgo =

216 5.14 Niveles de Vulnerabilidad Niveles de vulnerabilidad Activos Ord. Desc. ACTIVOS 1. Insumos (cintas, cartuchos de tinta, toner, papel, formularios, etc.) Imp. (1 a 10) R % Imp. (1 a 3) R % Imp. (1) R % 1 A 10 1 A 3 S/ imp (1) 2. Datos de Usuarios 3. Hardware (Teclado, Monitor, Unidades de Discos, Medios Removibles, etc) 4. Documentación de Programas, Hardware, Sistemas, Procedimientos Administrativos Locales, Manuales, etc 5. Administrador de Sistemas (Departamento de Sistemas) 6. Datos en Tránsito, Datos de Configuración, Datos en Medios Externos 7. Usuarios 8. Cableado, Antenas, Switch, Hubs, Modems 9. Software de Aplicación, Programas Fuente, Sistemas Operativos 10. Red 11. Servidores y Switch Central 199

217 5.15 Análisis de Importancia Orden de Activos Según (Imp. Actual) Según (Imp. ideal) ACTIVOS Insumos (cintas, cartuchos de tinta, toner, papel, formularios, etc.) Datos de Usuarios Riesgo (nivel de Vulnerab.) % Importancia (actual) % Dif de % Dif. De Imp. Importancia (ideal) Hardware (Teclado, Monitor, Unidades de Discos, Medios Removibles, etc) Documentación de Programas, Hardware, Sistemas, Procedimientos Administrativos Locales, Manuales, etc Administrador de Sistemas (Departamento de Sistemas) Datos en Tránsito, Datos de Configuración, Datos en Medios Externos Usuarios Cableado, Antenas, Switch, Hubs, Modems Software de Aplicación, Programas Fuente, Sistemas Operativos Red Servidores y Switch Central 200

218 5.16 Valores Máximos, Mínimos y Reales Activos Riesgos totales (Sin ponderar la importancia) 1. Insumos (cintas, cartuchos de tinta, toner, papel, formularios, etc.) 2. Datos de Usuarios 3. Hardware (Teclado, Monitor, Unidades de Discos, Medios Removibles, etc) 4. Documentación de Programas, Hardware, Sistemas, Procedimientos Administrativos Locales, Manuales, etc 5. Administrador de Sistemas (Departamento de Sistemas) 6. Datos en Tránsito, Datos de Configuración, Datos en Medios Externos 7. Usuarios 8. Cableado, Antenas, Switch, Hubs, Modems 9. Software de Aplicación, Programas Fuente, Sistemas Operativos 10. Red 11. Servidores y Switch Central (333) % (111) % (123) % 100 max % 33 min % Actual % 201

219 5.17 Porcentajes de Riesgos Cubiertos Como consecuencia del cuadro anterior, se puede calcular que el porcentaje de riesgos descubiertos en la empresa es del 65.6% ( puntos), considerando el nivel máximo de riesgos como el 100% (3300 puntos), y sabiendo que el porcentaje mínimo es de 33.3% (1100 puntos). Por esto podemos concluir que la empresa debería reducir en 32.3% el porcentaje de riesgos descubiertos, para así conseguir el nivel mínimo de riesgos posible. Porcentaje de riesgos descubiertos: % Porcentaje de riesgos mínimos: % Desviación: % 202

220 5.18 Concientización de la Importancia de la Seguridad en Redes de Datos en las Empresas Aún cuando se tenga las habilidades y experiencia necesaria para configurar el firewall correctamente, será difícil conocer la administración de riesgos que está dispuesto a tomar con los datos y determinar la cantidad de inconveniencias a resistir para protegerlos. También se debe considerar cómo asegurar los hosts que están siendo accesados. Incluso con la protección de firewall, no hay garantía que no se pueda desarrollar alguna vulnerabilidad. Y es muy probable que haya un dispositivo en peligro. Los modems, por ejemplo, pueden proveer un punto de acceso a su red que completamente sobrepase su firewall. De hecho, un firewall puede aumentar la probabilidad que alguien establecerá un módem para el acceso al Internet mediante otro ISP (ISP - Internet Service Providers, cualquier empresa o institución que provea de conexión a Internet), por las restricciones que el firewall puede imponer sobre ellos (algo para recordar cuando se empieza a configurar su firewall). Se puede proveer restricciones o «protección,» que puede resultar ser innecesario una vez que las consecuencias se entienden claramente como un caso de negocio. Por otra parte, los riesgos pueden justificar el incremento de restricciones, resultando incómodo. Pero, a menos que el usuario esté prevenido de estos peligros y entienda claramente las consecuencias para añadir el riesgo, no hay mucho que hacer. Asegurar sus datos involucra algo más que conectarse en un firewall con una interface competente. Lo que se necesita es un plan comprensivo de defensa. Y se necesita comunicar este plan en una manera que pueda ser significativo para la gerencia y usuarios finales. Esto requiere educación y capacitación, conjuntamente con la explicación, claramente detallada, de las consecuencias de las violaciones. A esto se le llama una «política de seguridad» y es el primer paso para asegurar responsablemente la red. La política puede incluir instalar un firewall, pero no necesariamente se debe diseñar su política de seguridad alrededor de las limitaciones del firewall. Elaborar la política de seguridad no es una tarea trivial. Ello no solamente requiere que el personal técnico comprenda todas las vulnerabilidades que están involucradas, también requiere que ellos se comuniquen efectivamente con la gerencia. La gerencia debe decidir finalmente cuánto de riesgo debe ser tomado con el activo de la compañía, y cuánto se debería gastar en ambos, en dólares e inconvenientes, a fin de minimizar los riesgos. Es responsabilidad del personal técnico asegurar que la gerencia comprenda las implicaciones de añadir acceso a la red y a las aplicaciones sobre la red, de tal manera que la gerencia tenga la suficiente información para la toma de decisiones. 203

221 El desarrollo de una política de seguridad comprende la identificación de los activos organizativos, evaluación de amenazas potenciales, la evaluación del riesgo, implementación de las herramientas y tecnologías disponibles para hacer frente a los riesgos, y el desarrollo de una política de uso. Debe crearse un procedimiento de auditoría que revise el uso de la red y servidores de forma periódica 204

222 Ningún problema verdadero tiene solución. En cada problema grande hay un problema pequeño que lucha por salir. Y En cada problema pequeño hay un problema grande que lucha por salir. Leyes de Smith Hoare Schainker (Leyes de Murphy) En el presente capitulo el objetivo principal es aplicar nuestro Modelo de Seguridad para determinar los Riesgos, Amenazas y Vulnerabilidades de las Redes de Datos de nuestro caso práctico como lo es la Secretaria de Transporte y Vialidad en donde se abordan las técnicas de un análisis de riesgos que ayudan a la detección y medición de vulnerabilidades así como a la reducción de los riesgos en una Red de Datos.

223 6.1 Introducción En este capítulo se concentran todos los conceptos presentados, con el objeto de detectar la medición de vulnerabilidades y reducción de los riesgos existentes en el área de redes de datos para proteger la información de los intrusos y obtener una mejor productividad en la Secretaria de Transportes y Vialidad (SETRAVI) y en consecuencia mostrar un panorama amplio de la seguridad con la que cuenta una red de datos. Así mismo, llevar a cabo un ataque controlado sobre una red de datos, observando cómo se puede explotar de manera satisfactoria una vulnerabilidad detectada anteriormente, como resultado del análisis de riesgos se presentarán Check - list, cuestionarios, gráficas de seguridad basado en el análisis de riesgos, para que le sea de utilidad al administrador de red al emitir recomendaciones sobre la red de datos evaluada. 6.2 Secretaria de Transportes y Vialidad (SETRAVI) La Secretaría de Transportes y Vialidad es la encargada de formular y conducir el desarrollo integral del transporte, controlar el autotransporte urbano, así como planear y operar las vialidades en el Distrito Federal. La Secretaría de Transportes y Vialidad contribuye al desarrollo económico y social de la Ciudad de México, a través de garantizar un servicio eficiente y de calidad para el traslado de personas y bienes, así como una infraestructura vial adecuada a la dinámica de las necesidades de la capital de la República, con un enfoque metropolitano, bajo los principios de honestidad, transparencia y con apego a la ley y el servicio público con el fin de elevar la calidad de vida de los habitantes de la ciudad. 6.3 Antecedentes Generales Los antecedentes de un sistema gubernamental propiamente responsable de la planeación y gestión de los transportes y las vialidades en la capital de la República como lo es la Secretaría de Transportes y Vialidad (SETRAVI) se ubican entre los años de 1975 y 1976, con la Comisión de Vialidad y Transporte Urbano (Covitur), organismo público descentralizado encargado de la planeación, proyección y construcción de obras en esta materia. El Sistema de Transporte Colectivo Metro fue creado por decreto presidencial el 29 de abril de

224 La Dirección General de Policía y Tránsito y la Dirección General de Ingeniería de Tránsito y Transporte conservaron las funciones de administrar, regular y vigilar el servicio. En la década siguiente, esto es entre 1975 y 1984, la Covitur paulatinamente fue perdiendo funciones. En 1981 se creó el organismo Autobuses Urbanos de Pasajeros Ruta 100 (R-100). La ciudad sufrió un paro camionero -del llamado "pulpo" que quería autorización para aumentar las tarifas- y el presidente de la República firmó el decreto el 25 de septiembre de 1981 por el que se creó R-100, un organismo público desconcentrado, con personalidad jurídica y patrimonio propio, cuyo objetivo social era la prestación del servicio público de transporte de pasajeros en el Distrito Federal y zonas conurbadas. Tres años después, en 1984, se creó la Coordinación General de Transporte (CGT) con el objetivo de diseñar las políticas de transporte urbano. La CGT integró los modos y organismos de transporte existentes en el Distrito Federal. Sus funciones fueron hacer estudios económicos, sociales y técnicos necesarios para la planeación del transporte y la vialidad en la capital, para poder determinar las medidas técnicas y operacionales de todos los medios de transporte urbano. En 1985, la Dirección General de Autotransporte Urbano (DGAU) se incorporó a la CGT, con la idea de una integración sectorial y vertical de funciones, para paliar las situaciones de corrupción surgidas con el trato al público. Sus funciones eran de carácter normativo en servicios de pasajeros, carga, foráneo y local, sobre todo, encargada del transporte concesionado de taxis y colectivos en la entonces Dirección General de Policía y Tránsito. La DGAU se convirtió más tarde en la Dirección General de Servicios al Transporte (DGST) pero siguió manteniendo una estrecha vinculación con la policía. Entre 1984 y 1990, las funciones básicas de la Coordinación General de Transporte eran similares a las que hoy tiene su sucesora SETRAVI. Es decir, la elaboración del Programa Integral de Transporte y Vialidad; estudios para eficientar el uso del servicio y su infraestructura, tarifas, supervisión de operación, marco legal para la prestación del servicio y autorizaciones. Pero hasta los primeros años de la década de los noventa, aun con la conjunción de la gestión, planeación y regulación de los distintos modos y organismos de transporte en una sola instancia, la estructura institucional no era suficiente ni consistente. 207

225 Aunque desde 1994 la Coordinación General de Transporte se elevó a rango de Secretaría, a partir de 1995, en enero, la Regencia de la ciudad anunció la puesta en marcha de la Secretaría de Transportes y Vialidad del Distrito Federal. La CGT ya agrupaba en una sola instancia a los diferentes organismos encargados de la planeación y control del transporte en el entonces Departamento del Distrito Federal y los organismos públicos operadores del transporte colectivo como la R-100, el Metro y el Servicio de Transportes Eléctricos. Por su parte, en 1987 inició funciones la Asamblea de Representantes del Distrito Federal, con atribuciones para hacer recomendaciones, pues las facultades legislativas fueron adquiridas propiamente a partir de Sin embargo, desde su inicio se ha venido consolidando como una institución vinculada a los aspectos legislativos del transporte, y desde 1994 se constituyó en un instrumento de política sectorial muy influyente. Conformación La Secretaría de Transportes y Vialidad se creó el 30 de diciembre de 1994, día en se publicó la Ley Orgánica de la Administración Pública del Distrito Federal. Entonces la SETRAVI absorbió las unidades administrativas que conformaban la Coordinación General de Transporte, la Dirección General de Estudios y Proyectos, la Dirección General de Desarrollo Integral del Transporte y la Dirección de Administración. Además, la Dirección General de Servicios al Transporte (antes Dirección de Autotransporte Urbano) y la Dirección General de Control de Tránsito (que pertenecía a la Secretaría de Protección y Vialidad) y se creó la Dirección General de Apoyo de Sistemas. La SETRAVI tuvo una restructuración en 1999, en la cual la Dirección de Planeación y Proyectos de Vialidad cambió de nomenclatura a la de Dirección General de Planeación y Vialidad; y la Dirección General de Normatividad y Evaluación del Transporte y Vialidad a la de Dirección General de Regulación al Transporte. También se transfirió la Dirección de Centros de Transferencia Modal (Cetram) de la Dirección General de Servicios al Transporte a la Dirección General de Planeación y Vialidad. La reestructura se incluyó en el Reglamento Interior de la Administración Pública del Distrito Federal y se publicó en la Gaceta del Distrito Federal el 11 de agosto de Titulares de la SETRAVI 208

226 Nombre Año Luis Miguel Moreno Gómez 1994 Jorge Fernando Ramírez de Aguilar 1995 Jorge Martínez y Almaraz 1997 Adolfo Joel Ortega Cuevas 1998 Francisco José Díaz Casillas 2000 Jenny Saltiel Cohen 2000 Francisco Garduño Yáñez

227 6.4 Organigrama de la Empresa General Secretario de Transporte y Vialidad Asesor Asesor Asesor Dirección de Registro Público de Transporte Dirección de Informática Dirección Jurídica Coordinación de Supervisión al Transporte Sub. De Registro Público al Transporte Sub. De Información Estadística Sub. De Información Estadística Sub. De Apoyo Técnico Sub. De Administración De Redes Sub. De Normas J.U.D. De Calificación Sanciones Del Transporte Público Sub. De Amparos J.U.D de Verificación J.U.D De Inspección De Bases Figura No. 46 Organigrama de la Secretaria de Transportes y Vialidad 210

228 6.4.1 Organigrama del Área de Informática Figura No. 47 Organigrama del Area Informática 6.5 Normatividad de SETRAVI (Políticas y Procedimientos) 1.-Del equipo De la instalación de equipo de cómputo. 1. Todo el equipo de cómputo (computadoras, estaciones de trabajo, supercomputadoras, y equipo accesorio), que esté o sea conectado a la Red-SETRAVI, o aquel que en forma autónoma se tenga y que sea propiedad de la institución debe de sujetarse a las normas y procedimientos de instalación que emite el departamento de Redes de la Dirección de Telemática. 2. La Dirección de Telemática en coordinación con el departamento de Control Patrimonial deberá tener un registro de todos los equipos propiedad de SETRAVI. 3. El equipo de la institución que sea de propósito específico y tenga una misión crítica asignada, requiere estar ubicado en un área que cumpla con los requerimientos de: seguridad física, las condiciones ambientales, la alimentación eléctrica, su acceso que la Dirección de Telemática tiene establecido en su normatividad de este tipo. 4. Los responsables de las áreas de apoyo interno de los departamentos deberán en conjunción con el departamento de Redes dar cabal cumplimiento con las normas de instalación, y notificaciones correspondientes de actualización, reubicación, reasignación, y todo aquello que implique movimientos en su ubicación, de adjudicación, sistema y misión. 5. La protección física de los equipos corresponde a quienes en un principio se les asigna, y corresponde notificar los movimientos en caso de que existan, a las autoridades correspondientes (departamento de Mantenimiento, departamento de Cómputo, departamento de Control Patrimonial, y otros de competencia). 211

229 Del mantenimiento de equipo de cómputo. 1. Al departamento de Redes de la Dirección de Telemática, corresponde la realización del mantenimiento preventivo y correctivo de los equipos, la conservación de su instalación, la verificación de la seguridad física, y su acondicionamiento específico a que tenga lugar. Para tal fin debe emitir las normas y procedimientos respectivos. 2. En el caso de los equipos atendidos por terceros la Dirección de Telemática deberá normar al respecto. 3. El personal técnico de apoyo interno de los departamentos académicos se apegará a los requerimientos establecidos en las normas y procedimientos que el departamento de Redes emita. 4. Los responsables de las áreas de Cómputo de un departamento pueden otorgar mantenimiento preventivo y correctivo, a partir del momento en que sean autorizados por el departamento de Redes. 5. Corresponde al departamento de Redes dar a conocer las listas de las personas, que puedan tener acceso a los equipos y brindar los servicios de mantenimiento básico, a excepción de los atendidos por terceros 6. Por motivos de normatividad expedidos por la SECODAM queda extrictamente prohíbido dar mantenimiento a equipo de cómputo que no es propiedad de la institución. De la actualización del equipo. 1. Todo el equipo de cómputo (computadoras personales, estaciones de trabajo, supercomputadora y demás relacionados), y los de telecomunicaciones que sean propiedad del SETRAVI debe procurarse sea actualizado tendiendo a conservar e incrementar la calidad del servicio que presta, mediante la mejora sustantiva de su desempeño. De la reubicación del equipo de cómputo. 1. La reubicación del equipo de cómputo se realizará satisfaciendo las normas y procedimientos que el departamento de Redes emita para ello. 2. En caso de existir personal técnico de apoyo de los departamentos académicos, éste notificará de los cambios tanto físicos como de software de red que realice al departamento de Redes, y en su caso si cambiará de responsable (el equipo) al departamento de Control Patrimonial de la Subdirección de Recursos Materiales y Servicios. Notificando también los cambios de equipo inventariado (cambio de monitores, de impresoras etc.). 212

230 3. El equipo de cómputo a reubicar sea del SETRAVI o bien externo se hará únicamente bajo la autorización del responsable contando el lugar a donde se hará la ubicación con los medios necesarios para la instalación del equipo. 2.- Del control de accesos Del acceso a áreas críticas. 1. El acceso de personal se llevará acabo de acuerdo a las normas y procedimientos que dicta la Dirección de Telemática. 2. En concordancia con la política de la institución y debido a la naturaleza de estas áreas se llevará un registro permanente del tráfico de personal, sin excepción. 3. La Dirección de Telemática deberá proveer de la infraestructura de seguridad requerida con base en los requerimientos específicos de cada área. 4. Bajo condiciones de emergencia o de situaciones de urgencia manifiesta, el acceso a las áreas de servicio crítico estará sujeto a las que especifiquen las autoridades superiores de la institución. Del control de acceso al equipo de cómputo. 1. Todos y cada uno de los equipos son asignados a un responsable, por lo que es de su competencia hacer buen uso de los mismos. 2. Las áreas donde se tiene equipo de propósito general cuya misión es crítica estarán sujetas a los requerimientos que la Dirección de Telemática emita. 3. Las áreas de cómputo de los departamentos donde se encuentre equipo cuyo propósito reuna características de imprescindible y de misión crítica, deberán sujetarse también a las normas que establezca la Dirección de Telemática. 4. Los accesos a las áreas de críticas deberán de ser clasificados de acuerdo a las normas que dicte la Dirección de Telemática de común acuerdo con su comité de seguridad informática. 5. Dada la naturaleza insegura de los sistemas operativos y su conectividad en la red, la Dirección de Telemática tiene la facultad de acceder a cualquier equipo de cómputo que no esten bajo su supervisión. 213

231 Del control de acceso local a la red. 1. El departamento de Cómputo de la Dirección de Telemática es responsable de proporcionar a los usuarios el acceso a los recursos informáticos. 2. La Dirección de Telemática es la responsable de difundir el reglamento para el uso de la red y de procurar su cumplimiento. 3. Dado el carácter unipersonal del acceso a la Red-SETRAVI, el departamento de Cómputo verificará el uso responsable, de acuerdo al Reglamento para el uso de la red. 4. El acceso lógico a equipo especializado de cómputo (servidores, enrutadores, bases de datos, equipo de supercómputo centralizado y distribuido, etc.) conectado a la red es administrado por el departamento de Cómputo. 5. Todo el equipo de cómputo que esté o sea conectado a la Red-SETRAVI, o aquellas que en forma autónoma se tengan y que sean propiedad de la institución, debe de sujetarse a los procedimientos de acceso que emite el departamento de Cómputo. De control de acceso remoto. 1. La Dirección de Telemática es la responsable de proporcionar el servicio de acceso remoto y las normas de acceso a los recursos informáticos disponibles. 2. Para el caso especial de los recursos de supercómputo a terceros deberán ser autorizados por la Dirección General o por la Dirección de Vinculación. 3. El usuario de estos servicios deberá sujetarse al Reglamento de uso de la Red- SETRAVI y en concordancia con los lineamientos generales de uso de Internet. 4. El acceso remoto que realicen personas ajenas a la institución deberá cumplir las normas que emite la Dirección de Telemática. De acceso a los sistemas administrativos. 1. Tendrá acceso a los sistemas administrativos solo el personal del SETRAVI que es titular de una cuenta de gastos o bien tenga la autorización del responsable si se trata de personal de apoyo administrativo o técnico. 2. El manejo de información administrativa que se considere de uso restringido deberá ser cifrada con el objeto de garantizar su integridad. 3. Tendrá acceso al sistema de información de la Dirección de Estudios de Posgrado sólo aquellos usuarios de Red-SETRAVI o externos autorizados por dicha dirección. 214

232 4. La instalación y uso de los sistemas de información se rigen por el reglamento de uso de la Red-SETRAVI y por las normas y procedimientos establecidos por el departamento de Informática. 5. Los servidores de bases de datos administrativos son dedicados, por lo que se prohiben los accesos de cualquiera, excepto para el personal del departamento de Informática. 6. El control de acceso a cada sistema de información de la Dirección Administrativa será determinado por la unidad responsable de generar y procesar los datos involucrados. Del WWW 1. En concordancia con la legislación federal y de común acuerdo con las políticas generales de informática, la Dirección de Telemática a través del departamento de Cómputo es el responsable de instalar y administrar el o los servidor(es) WWW. Es decir, sólo se permiten servidores de páginas autorizados por la Dirección de Telemática. 2. El departamento de Cómputo deberá emitir las normas y los requerimientos para la instalación de servidores de páginas locales, de bases de datos, del uso de la Intranet institucional, así como las especificaciones para que el acceso a estos sea seguro. 3. Los accesos a las páginas de web a través de los navegadores deben sujetarse a las normas que previamente se manifiestan en el Reglamento de acceso a la Red- SETRAVI. 4. A los responsables de los servidores de Web corresponde la verificación de respaldo y protección adecuada. 5. Toda la programación involucrada en la tecnología Web deberá estar de acuerdo con las normas y procedimientos que la Dirección de Telemática emita. 6. El material que aparezca en la página de Internet del SETRAVI deberá ser aprobado por la Dirección de Telemática, respetando la ley de propiedad intelectual (derechos de autor, créditos, permisos y protección, como los que se aplican a cualquier material impreso). 7. En concordancia con la libertad de investigación, se acepta que en la red de SETRAVI conectada a Internet pueda ponerse información individual sin autorización (siempre y cuando no contravenga las disposiciones que se aplican a las instituciones gubernamentales paraestatales), por ejemplo: corcho de difusión ("bulletin board"), página personal ("home page"), pero deberá llevar el enunciado siguiente: "Las expresiones, opiniones o comentarios que aquí aparecen pertenecen al autor individual y no necesariamente a SETRAVI"; no debe Ilevar el logotipo oficial del Centro y deberá siempre responder a un comportamiento profesional y ético. 8. Con referencia a la seguridad y protección de las páginas, así como al diseño de las mismas deberá referirse a las consideraciones de diseño de páginas electrónicas establecidas por la Dirección de Telemática. 215

233 9. La Dirección de Telemática tiene la facultad de llevar a cabo la revisión periódica de los accesos a nuestros servicios de información, y conservar información del tráfico. 3 De utilización de los recursos de la red 1. Los recursos disponibles a través de la Red-SETRAVI serán de uso exclusivo para asuntos relacionados con las actividades sustantivas del centro. 2. La Dirección de Telemática es la responsable de emitir y dar seguimiento al Reglamento para el uso de la Red. 3. De acuerdo con las disposiciones de la SECODAM, corresponde a la Dirección de Telemática administrar, mantener y actualizar la infraestructura de la Red-SETRAVI. 4. La Dirección de Telemática debe propiciar el uso de las tecnologías de la información con el fin de contribuir con las directrices económicas y ecológicas de la institución. 5. Dado el carácter confidencial que involucra el correo electrónico el Comité de Informática del Centro emite su reglamentación. 4 Del Software De la adquisición de software. 1. En concordancia con la política de la institución, el Comité de Informática y la Dirección de Telemática son los organismos oficiales del Centro para establecer los mecanismos de procuración de sistemas informáticos. 2. Del presupuesto de los proyectos que se otorga a las diferentes áreas del SETRAVI una cantidad deberá ser aplicada para la adquisición de programación con licencia. 3. De acuerdo con el Programa Nacional de Informática, la Dirección General en conjunto con el Comité de Informática y la Dirección de Telemática, propiciará la adquisición de licencias de sitio, licencias flotantes, licencias por empleado y de licencias en cantidad, para obtener economías de escala y de acorde al plan de austeridad del gobierno de la república. 4. Corresponderá a la Dirección de Telemática emitir las normas para el tipo de licenciamiento, cobertura, transferibilidad, certificación y vigencia. 5. De acuerdo a los objetivos globales de la Dirección de Telemática se deberá propiciar la adquisición y asesoramiento en cuanto a software de vanguardia. 6. En cuanto a la paquetería sin costo deberá respetarse la propiedad intelectual intrínseca del autor. 216

234 7. La Dirección de Telemática promoverá y propiciará que la adquisición de software de dominio público provenga de sitios oficiales y seguros. 8. La Dirección de Telemática deberá promover el uso de sistemas programáticos que redunden en la independencia de la institución con los proveedores. De la instalación de software. 1. Corresponde al departamento de Cómputo emitir las normas y procedimientos para la instalación y supervisión del software básico para cualquier tipo de equipo. 2. En los equipos de cómputo, de telecomunicaciones y en dispositivos basados en sistemas de cómputo, únicamente se permitirá la instalación de software con licenciamiento apropiado y de acorde a la propiedad intelectual. 3. Los departamentos de Cómputo y de Informática son los responsables de brindar asesoría y supervisión para la instalación de software informático, asímismo el departamento de Redes para el software de telecomunicaciones. 4. La instalación de software que desde el punto de vista de la Dirección de Telemática pudiera poner en riesgo los recursos de la institución no está permitida. 5. Con el propósito de proteger la integridad de los sistemas informáticos y de telecomunicaciones, es imprescindible que todos y cada uno de los equipos involucrados dispongan de software de seguridad (antivirus, vacunas, privilegios de acceso, y otros que se apliquen). 6. La protección lógica de los sistemas corresponde a quienes en un principio se les asigna y les compete notificar cualquier movimiento al departamento de Cómputo. De la actualización del software. 1. La adquisición y actualización de software para equipo especializado de cómputo y de telecomunicaciones se llevará a cabo de acuerdo a la calendarización que anualmente sea propuesta por la Dirección de Telemática. 2. Corresponde a la Dirección de Telemática autorizar cualquier adquisición y actualización del software. 3. Las actualizaciones del software de uso común o más generalizado se llevarán a cabo de acuerdo al plan de actualización desarrollado por la Dirección de Telemática. 217

235 De la auditoría de software instalado. 1. El departamento de Contraloría Interna de SETRAVI es el responsable de realizar revisiones periódicas para asegurar que sólo programación con licencia esté instalada en las computadoras de la institución. 2. La Dirección de Telemática propiciará la conformación de un grupo especializado en auditoría de sistemas de cómputo y sistemas de información. 3. Corresponderá al grupo especializado dictar las normas, procedimientos y calendarios de auditoría. Del software propiedad de la institución. 1. Toda la programática adquirida por la institución sea por compra, donación o sesión es propiedad de la institución y mantendrá los derechos que la ley de propiedad intelectual le confiera. 2. La Dirección de Telemática en coordinación con el departamento de Control Patrimonial deberá tener un registro de todos los paquetes de programación propiedad del SETRAVI 3. Todos los sistemas programáticos (programas, bases de datos, sistemas operativos, interfaces) desarrollados con o a través de los recursos de SETRAVI se mantendrán como propiedad de la institución respetando la propiedad intelectual del mismo. 4. Es obligación de todos los usuarios que manejen información masiva, mantener el respaldo correspondiente de la misma ya que se considera como un activo de la institución que debe preservarse. 5. Los datos, las bases de datos, la información generada por el personal y los recursos informáticos de la institución deben estar resguardados. 6. Corresponderá a la Dirección de Telemática promover y difundir los mecanismos de respaldo y salvaguarda de los datos y de los sistemas programáticos. 7. La Dirección de Telemática en conjunto con el Dirección de Vinculación propiciará la gestión de patentes y derechos de creación de software propiedad de la institución. 8. La Dirección de Telemática administrará los diferentes tipos de licencias de software y vigilará su vigencia en concordancia con la política informática. Sobre el uso de software académico. 1. Cualquier software que requiera ser instalado para trabajar sobre la Red-SETRAVI deberá ser evaluado por la Dirección de Telemática. 2. Todo el software propiedad de la institución deberá ser usado exclusivamente para asuntos relacionados con las actividades del Centro. 218

236 6.6 Situación Actual La Secretaria de Transporte y Vialidad (SETRAVI) cuenta con una tecnología de punta bajo un diseño de red en categoría 5E, la cual cuenta con una topología que se muestra en la Figura No.48 Diagrama de la Infraestructura de la Red de SETRAVI. Figura No. 48 Diagrama de la Infraestructura de la Red de SETRAVI La cual trata de cumplir con los estándares de diseño de redes y normas de seguridad dentro del edificio, por lo que solo cuenta con políticas de seguridad básica para los usuarios y no siempre son respetadas por los mismos. Se ha demostrado que los usuarios no siguen las normas de seguridad, para el uso adecuado de la red, asumen que nada esta prohibido, salvo cuando el sistema que este operando envie un mensaje de advertencia, el cual le indica que no tiene los permisos necesarios para la ejecución o la visita de alguna pagina Web, ya sea interno o externa. En la Figura No.48 Diagrama de la Infraestructura de la Red de SETRAVI se muestra el diagrama general de la red, la cual esta en funcionamiento, misma que cuenta con un Switch Core de marca CISCO modelo de la serie 7000, perteneciente a la empresa Telmex, el cual es el proveedor de servicios ante la SETRAVI. 219

237 La asignación de los puertos se da por medio del área de Informática, la cual se encarga de asignar cada uno de los puertos para cada segmento de red y pensando siempre en la escalabilidad de la red por lo cual posee varios puertos libres. Todo esto se encuentra distribuido en 3 IDF s que se encuentran en todo el edificio, los cuales se alojan en 3 pisos cada uno de ellos con su correspondiente panel de pacheo, switch 3COM de la serie 4000, los cuales nos son capaces de soportar VLAN. Los switch 3COM son monitoreados por ambiente Web, para verificar su funcionamiento o si tiene problemas lógicos y físicos. La Secretaria de Transporte y Vialidad cuenta con dos redes, una corporativa que es la que usan todos los usuarios, y la otra de operación donde encontramos la granja de Servidores, VPN, y enlaces Frame Relay. Aquí se encuentra un Firewall el cual protege el acceso no autorizado. 6.7 Definición del Proyecto La misión de este proyecto es, mediante una serie de pasos, que aplicados por gente conocedora del área de tecnologías de la información, se logre detectar las vulnerabilidades a la que está expuesta la red de datos. SETRAVI será la institución evaluada con la metodología de análisis de riegos. Luego de realizar el proceso de análisis de riesgos que plantea la metodología, se obtuvo datos que cuantificados permitieron crear los gráficos que permiten observar más fácilmente el grado de seguridad en que se encuentra la institución. Finalmente se entregaran una serie de sugerencia para mejorar los puntos vulnerables encontrados en el análisis. 220

238 6.8 Listado y Determinación de los Activos de la Organización No. Del Activo ACTIVOS A PROTEGER IMPORTANCIA 1 Servidores y Switch Central 10 2 Softrware de Aplicación, Programas Fuente, Sistemas Operativos 9 3 Datos en Tránsito, Datos de Configuración, Datos en Medios Externos 8 4 Administrador de Sistemas (Departamento de Sistemas) 7 5 Cableado, Antenas, Switch, Hubs, Modems 9 6 Red 10 7 Usuarios 8 8 Documentación de Programas, Hardware, Sistemas, Procedimientos Administrativos Locales, Manuales, etc 6 9 Hardware (Teclado, Monitor, Unidades de Discos, Medios Removibles, etc) 3 10 Insumos (cintas, cartuchos de tinta, toner, papel, formularios, etc.) 2 11 Datos de Usuarios Identificación de Factores de Riesgo FACTORES DE RIESGO PROBABILIDAD Abuso de Puertos para el Mantenimiento Remoto 2 Acceso No Autorizado a Datos (Borrado, Modificación, etc) 3 Administración Impropia del Sistema de TI 1 Almacenamiento de Passwords Negligente 2 Ancho de Banda Insuficiente 3 Aplicaciones sin Licencia 3 Ausencia o Falta de Segmentación 1 Base de Datos Compleja 0 Borrado, Modificación o Revelacion desautorizada o inadvertida de Información 1 Browsing de Información 1 Compeljidad en el Acceso a las Redes de IT 1 Condiciones de Trabajo Adversas 1 Conexion de Cables Inadmisible 1 Conexiones todavia Activas 3 Configuracion Impropia del Correo Electrónico 1 Configuración Inadecuada de los Componentes de la Red 2 221

239 Conocimiento Insuficiente de los Documentos de Requerimientos en el Desarrollo 2 Copia no Autorizada de un Medio de Datos 2 Corte de luz, UPS descargado o variaciones de voltaje 3 Daño de Cables Inadvertido 3 Deficiencias conceptuales en la Red 2 Descripcion de Archivos Inadecuada 1 Destrucción Negligente de Equipos o Datos 1 Destrucción o Mal Funcionamiento de un Componente 2 Documentación Deficiente 3 Documentación Insuficiente o Faltante, Funciones no Documentadas 3 Denial of Service 2 Entrada sin Autorizacion a Habitaciones 2 Entrenamiento de Usuarios Inadecuado 2 Errores de Configuración y Operación 3 Errores de Software 3 Errores en las Funciones de Encriptacion 2 Factores Ambientales 1 Falla de Bases de Datos 0 Falla del Sistema 2 Falla en la MAN 3 Falla en Medios Externos 1 Falta de Auditorias 3 Falta de Auntenticación 2 Falta de Compatibilidad 3 Falta de Confidencialidad 1 Falta de Cuidado en el Manejo de la Información (Ej. Password) 2 Falta de Espacio de Almacenamiento 1 Ingnieria Social - Ingenieria Social Inversa 2 Interferencias 1 Límite de Vida Útil - Maquinas Obsoletas 3 Longitud de los cables de red exhibida 2 Mal Interpretación 2 Mal Mantenimiento 3 Mal Uso de Derechos de Administrador 3 Mal Uso de Servicios de Mail 2 Mala Administración de Control de Acceso (Salteo de Login, etc) 1 Mala Configuración del Schedule de Backups 1 222

240 Mala Evaluación de Datos de Auditoria 3 Mala Integridad de los Datos 1 Mantenimiento Inadecuado o Ausente 2 Medios de Datos no estan disponibles cuando son necesarios 1 Modificación de Paquetes 1 Modificación No Autorizada de Datos 2 No-Cumplimiento con las Medidas de Seguridad del Sistema 2 Penetración, Intercepción o Manipulación de Lineas 1 Pérdida de Backups 2 Pérdida de Confidencialidad en Datos Privados y de Sistema 1 Pérdida de Confidencialidad o Integridad de Datos como Resultado de un Error Humano en el Sistema 1 Pérdida de Datos 1 Pérdida de Datos en Tránsito 1 Desvinculación del Personal 1 Poca adaptación a Cambios en el Sistema 2 Portapapeles, Impresoras o Directorios Compartidos 1 Prueba de Software Deficiente 1 Recursos Escasos 1 Reducción de Velocidad de Transmisión 2 Reglas Insuficientes o Ausencia de ellas 2 Riesgo por el Personal de Limpieza o Personal Externo 2 Robo 2 Robo de Información 2 Robo por Uso de Laptops 3 Rotulos Inadecuados en los Medios de Datos 1 Sabotaje 2 Seguridad en la Base de Datos Deficiente 1 Sincronización de Tiempo Inadecuada 1 Software Desactualizado 3 Spoofing y Sniffing 2 Transferencia de Datos Incorrectos o no Deseados 1 Transporte Inseguro de Archivos 1 Transporte Inseguro de Medios de Datos 1 Uso de Derechos Sdin Autorización 2 Uso Descontrolado de Recursos (Dos) 1 Uso Impropio del Sistema de IT 1 Uso sin Autorización 1 Virus, Gusanos y Caballos de Troya 3 223

241 6.10 Cuantificación de los Resultados en la Identificación de Vulnerabilidades Una vez obtenidas las respuestas de los cuestionarios, estas se evalúan y cuantifican La primera impresión del estado de la red se presenta en la Figura No.33 Observación Básica del Estado de la Empresa, al realizar un sondeo de preguntas sencillas, sin entrar en detalles específicos, sobre el funcionamiento de la red y las protecciones básicas que posee, se puede apreciar que la institución cuenta con herramientas para minimizar el nivel de vulnerabilidades, pero esto está lejos de un óptimo rendimiento de seguridad. Visión General PROTECCION 37% VULNERABILIDAD 63% Figura No. 33 Observación Básica del Estado de la Empresa Los datos que generan en la Figura No.34, se enfoca en el perímetro de la red, esto debido al tipo de preguntas realizadas, se aprecia la baja vulnerabilidad en comparación con las medidas de protección existentes, y con los que la organización cuenta en este caso firewalls y segmentación de la red entre otras protecciones. 224

242 Perímetro PROTECCION 56% VULNERABILIDAD 44% Figura No.34 Observación del Perimetro de la Red de la Empresa Autenticación PROTECCION 44% VULNERABILIDAD 56% Figura No.35 Evaluación de la autenticación en la Organización Con las respuestas obtenidas por parte del administrador se podría decir que la institución cuenta con un sistema de autenticación para el acceso a sus sistemas aunque no es el óptimo, pero sin embargo, al observar las respuestas obtenidas por los usuarios se entiende que no se cumplen las normas de creación de contraseñas ni el control de estas. 225

243 Otro punto sumamente importante es la falta de encriptación, lo que deja abierta la información a cualquier persona que explore la red, ésta grave vulnerabilidad es demostrada en el caso práctico. Todos estos puntos modifican la evaluación de la tabla de autenticación, tal como se puede apreciar en la Figura No.35, existe un 56% de vulnerabilidad en lo que a autenticación se refiere. Sin duda alguna, una de las mayores fortalezas de la institución es la forma de administración y control que posee sobre los sistemas, esto debido a que cuenta con un buen sistema de procedimientos, además de contar con personal interno capacitado para mantener la red, este resultado se expresa en la Figura No.36. Administración y Control VULNERABILIDAD 0% PROTECCION 100% Figura No. 36 Gestión de Administración y Control Aplicaciones PROTECCION 60% VULNERABILIDAD 40% Figura No.. 37 Evaluación de las Aplicaciones 226

244 Paso importante en toda red es determinar el tipo de aplicaciones que utiliza, el nivel que entrega la evaluación es positivo, tal como se muestra en la Figura No.37 Evaluación de las Aplicaciones. De la misma forma como se ha apreciado en gráficos anteriores, existe un bajo nivel de vulnerabilidades, lo que para el entorno en la que se desarrolla la organización se tendría que poner un poco mas de atención puesto que en esta parte refleja más vulnerabilidad, esto queda demostrado al observar la Figura No. 38 Evaluación del Entorno. Entorno PROTECCION 47% VULNERABILIDAD 53% Figura No. 38 Evaluación del Entorno Directivas VULNERABILIDAD 25% PROTECCION 75% Figura No.39 Evaluación de las Directivas 227

245 Al evaluar cómo se desempeña la organización en el marco de políticas y directivas se puede observar que esta realiza un buen desempeño en la asignación de los componentes. Sólo el no contar con pautas que indiquen protocolos y servicios permitidos en la red corporativa produce una vulnerabilidad de un 25%, esto se puede observar en la Figura No.39 Evaluación de las Directivas. En la Figura No.40 Evaluación de las Actualizaciones se puede apreciar que gracias al nivel de actualizaciones que realiza la organización, se mantiene un alto nivel de vulnerabilidades, nivel que esgenerado en laboratorios, los cuales no funcionan al 100% en conjunto con el resto de la infraestructura. Actualizaciones PROTECCION 29% VULNERABILIDAD 71% Figura No. 40 Evaluación de las Actualizaciones Respaldo PROTECCION 60% VULNERABILIDAD 40% Figura No. 41 Evaluación de las Copias De Seguridad y Recuperación 228

246 Para mantener una buena capacidad de respuesta, toda institución debe contar con un buen sistema de respaldo. La evaluación no es 100% aceptable, debido a fallas mínimas detectadas, las que generan un 40% de vulnerabilidad, Figura No. 41 Evaluación de las Copias De Seguridad y Recuperación Una forma de encontrar vulnerabilidades en toda la organización es realizando evaluaciones a los sistemas, es aquí donde SETRAVI realiza una excelente gestión, logrando nula las vulnerabilidades, frente a posibles fallas o ataques, esto se puede apreciar en la Figura No.42 Evalución de los Requisitos y Evaluaciones de la Organización. Evaluaciones VULNERABILIDAD 0% PROTECCION 100% Figura No. 42 Evaluación de los Requisitos y Evaluaciones de la Organización Procedimientos VULNERABILIDAD 0% PROTECCION 100% Figura No. 43 Evaluación de los Procedimientos 229

247 Formación y Conocimiento PROTECCION 33% VULNERABILIDAD 67% Figura No. 44 Evaluación de la Formacion y Conocimiento de los Empleados en la Organanización 230

248 La seguridad informática ha tomado gran auge, debido a las cambiantes condiciones y nuevas plataformas tecnológicas disponibles. La posibilidad de interconectarse a través de redes, ha abierto nuevos horizontes a las empresas para mejorar su productividad y poder explorar más allá de las fronteras nacionales, lo cual lógicamente ha traído consigo, la aparición de nuevas amenazas para los sistemas de información. Estos riesgos que se enfrentan han llevado a que muchas desarrollen documentos y directrices que orientan en el uso adecuado de estas tecnologías y recomendaciones para obtener el mayor provecho de estas ventajas, y evitar el uso indebido de las mismas, lo cual puede ocasionar serios problemas a los bienes, servicios y operaciones de la empresa. Pero no se encuentra documento alguno en el que se explique el qué preguntar o el qué analizar al desarrollar un análisis. Para poder crear una metodología no solo se deben agregar cosas, sino que es necesario entregar un sentido lógico al procedimiento, para ello se debe conocer en primer lugar la existencia de metodologías o formas relacionadas con lo que se quiere hacer, también se deben conocer más a fondo los fundamentos de la seguridad y entenderlos. La seguridad en la información no es posible sin la cooperación del usuario. Se puede tener la mejor tecnología para protegerlos y aún así, sufrir una ruptura de seguridad. Se pudo apreciar que con el hecho de utilizar un conjunto de preguntas y procedimientos se logra concretar una excelente imagen de las vulnerabilidades a las que es susceptible la red. Al desarrollar las herramientas del análisis se logró evidenciar que se cuenta con varias herramientas, como por ejemplo, la utilización de ingeniería social, esta es una técnica bastante buena ya que no es tan rígida como llenar un cuestionario de preguntas, aquí las personas responden con muchas mas franqueza y se sienten cómodas conversando y expresándose, esto se pudo comprobar con los usuarios entrevistados. Debido a las cambiantes condiciones y nuevas plataformas de computación disponibles, es vital el desarrollo de documentos y directrices que orienten a los usuarios en el uso adecuado de las tecnologías para aprovechar mejor sus ventajas. 231

249 En este sentido, las políticas de seguridad informática surgen como una herramienta organizacional para concientizar a los colaboradores de la organización sobre la importancia y sensibilidad de la información y servicios críticos que permiten a la empresa crecer y mantenerse competitiva. Ante esta situación, el proponer o identificar una política de seguridad requiere un alto compromiso con la organización, agudeza técnica para establecer fallas y debilidades, y constancia para renovar y actualizar dicha política en función del dinámico ambiente que rodea las organizaciones modernas. Finalmente debe quedar claro que la Seguridad Informática es un aspecto muchas veces descuidado en nuestros sistemas, pero de vital importancia para el correcto funcionamiento de todos ellos. Seguridad es un proceso NO un producto. Elaborar este proyecto proporcionó mucha experiencia en el ámbito profesional, ya que en el mundo laboral es apreciado el profesional que posee conocimientos en el área de seguridad informática, puesto que las organizaciones se están dando cuenta cada vez más de la importancia de contar con un sistema con bajas vulnerabilidades, y los costos que esto implica. En el ámbito personal las ganancias son invaluables, el trabajo en equipo, las relaciones con las personas, el desarrollo de la personalidad, al enfrentar gente que no conocemos. 232

250 ItSMF, Fundamentos de Gestión de Servicios TI: Basado en ITIL, España,2007 Cisco Systems Inc., Fundamentos de Seguridad de Redes, Madrid, Editorial Pearson Educación S.A, 2005 José Manuel Huidobro Moya, David Roldan Martínez, Seguridad en Redes y Sistemas Informáticos, Madrid, Thomson Parainfo S.A.,2005 William Stallings, Fundamentos de Seguridad en Redes: Aplicaciones y Estándares, México, Pearson Prentice Hall, 2006 Maiwald, Eric, Fundamentos de Seguridad de Redes, México, Mc Graw Hill, 2006 Carracedo Gallardo Justo, Seguridad en Redes Telemáticas, México, Mc Graw Hill, 2006 Manuel José Lucena López, Criptografía y Seguridad en Computadores, Universidad de Jaen, 2003 De Marcelo Rodao J., Piratas Cibernéticos (Cyberwars, Seguridad Informática e Internet) México Ra-Ma, 2006 Kareo, Merike, Diseño de Seguridad en Redes, Cisco Systems, Pearson,

251 A Agujeros: Fallo en la seguridad de una aplicación, sistema informático o sitio web, que permiten ser explotado para el hacking. Los agujeros son considerados bugs de programación. Los agujeros suelen corregirse en versiones superiores de un software o sistema, pero en el caso de ser muy riesgosos, se corrigen con la aplicación de parches. Ancho de banda: Es la cantidad de información o de datos que se puede enviar a través de una conexión de red en un período de tiempo dado. El ancho de banda se indica generalmente en bites por segundo (BPS), kilobites por segundo (kbps), o megabites por segundo (mps). ArCERT: Organismo de Coordinación de Emergencia en Redes Teleinformáticas, la cual se encarga del manejo de las incidentes de seguridad que afectan a los recursos informáticos de la Administración Pública Nacional, es decir cualquier ataque o intento de penetración a través de sus redes de información. B Backbone: Se refiere a las principales conexiones troncales de Internet. Está compuesta de un gran número de router comerciales, gubernamentales, universitarios y otros de gran capacidad interconectados que llevan los datos entre países, continentes y océanos del mundo. Backup: Se refiere a la copia de datos de tal forma que estas puedan restaurar un sistema después de una perdida de información. Bit: Es un dígito del sistema de numeración, en el binario se usan sólo dos dígitos, el 0 y el 1. Bluetooth: Es la norma que define un estándar global de comunicación inalámbrica, que posibilita la transmisión de voz y datos entre diferentes equipos ya sean,móviles, ordenadores, PDA, mediante un enlace por radiofrecuencia, permitiendo a los usuarios combinar móviles y fijos.. Es una tecnología inalámbrica de corto alcance, tiene un rango de hasta 10 metros y trabaja en una banda de 2.4 GHZ. 234

252 Broadcast: Técnica de enrutamiento que permite que el tráfico de IP se propague desde un origen hasta una serie de destinos o desde varios orígenes hacia varios destinos. Bot Herder: Es la persona o el grupo propietario que controla una red de bots. También se le llama "bot master" o "zombie master.html". C Claves criptográficas: es una pieza de información que controla la operación de un algoritmo de criptografía. Habitualmente, esta información es una secuencia de números o letras mediante la cual, en criptografía, se especifica la transformación del texto plano en texto cifrado, o viceversa. Crackers: Persona que diseña o programa los esquemas de protección anti copia de los programas comerciales, que sirven para modificar el comportamiento o ampliar la funcionalidad del software o hardware original al que se aplican, para así poder utilizar o vender copias ilegales. Cifrado: Encriptación de una señal por el proveedor del programa para evitar su uso no autorizado. La señal puede ser recuperada para ser utilizada con autorización. COBIT: Desarrollar un conjunto de objetivos de control en TI con autoridad, actualizados de carácter internacional y aceptados generalmente para el uso cotidiano de gerentes de empresas y auditores Comercio electrónico: También llamado EC o E-Commerce. Conjunto de transacciones comerciales que se realizan por medio de una red como Internet. Los pagos para esas transacciones pueden realizarse con tarjetas de créditos, cheques online, servicios de pagos, etc. Código malicioso: Término que hace referencia a cualquier conjunto de códigos, especialmente sentencias de programación, que tiene un fin malicioso. Esta definición incluye tanto programas malignos compilados, como macros y códigos que se ejecutan directamente, como los que suelen emplearse en las páginas web (scripts). Continuidad del negocio: Es el resultado de la aplicación de una metodología interdisciplinaria, la continuidad de las actividades críticas del negocio, en el caso de que se presentara un evento inesperado que pudiera comprometer los procesos y actividades importantes de la operación de la compañía. 235

253 Contraseñas: Una contraseña o password es una serie secreta de caracteres que permite a un usuario tener acceso a un archivo, a un ordenador, o a un programa. En sistemas multiusos, cada usuario debe incorporar su contraseña antes de que el ordenador responda a los comandos. D Descifrado: La aplicación inversa de un algoritmo de cifrado, que restaura los datos a su estado original, sin cifrar. Dominio: Nombre que identifica un sitio web. Cada dominio tiene que ser único en Internet. Un solo servidor web puede servir múltiples páginas web de múltiples dominios, pero un dominio sólo puede apuntar a un servidor. DNS: Es una abreviatura para Sistema de nombres de dominio (Domain Name System), un sistema para asignar nombres a equipos y servicios de red que se organiza en una jerarquía de dominios. La asignación de nombres DNS se utiliza en las redes TCP/IP, como Internet, para localizar equipos y servicios con nombres descriptivos. E Exploits: Programa informático malicioso, que intenta utilizar y sacar provecho de un bug o vulnerabilidad en otro programa o sistema. Suelen utilizar vulnerabilidades como: desbordamiento de buffer, condición de carrera. F File Transfer Protocol: El FTP utiliza los protocolos de Internet TCP/IP para permitir la transferencia de datos, de la misma manera que el HTTP en la transferencia de páginas web desde un servidor al navegador de un usuario y el SMTP para transferir correo electrónico a través de Internet. El FTP se utiliza principalmente para descargar un archivo de un servidor o para subir un archivo a un servidor a través de Internet. Firewalls: E un elemento de software o hardware utilizado en una red para prevenir algunos tipos e comunicaciones prohibidos según las políticas de red que se hayan definido en función de las necesidades de la organización responsable de la red. La idea principal de un firewall es crear un punto de control de la entrada y salida de tráfico de una red. 236

254 Firma digital: Método criptográfico que asegura la identidad del remitente en mensajes y documentos. Furza bruta: La fuerza bruta es una técnica empleada para descubrir claves en sistemas donde el método sea posible. La fuerza bruta se implementa con un programa que se encarga de probar múltiples claves hasta descubrir la correcta. Por lo general, las claves que se prueban son distintas combinaciones de caracteres, pero también se pueden probar palabras de un diccionario predefinido. G Gateways: Es un ordenador que permite las comunicaciones entre distintos tipos de plataformas, redes, ordenadores o programas. Para lograrlo traduce los distintos protocolos de comunicaciones que éstos utilizan. Es lo que se conoce como pasarela o puerta de acceso. H Hackers: Usuario especializado en penetrar sistemas informáticos con el Fin de obtener información secreta. En la actualidad, el término se identifica con el de delincuente informático, e incluye a los cibernautas que realizan operaciones delictivas a través de las redes de ordenadores existentes. Herramientas criptográficas: Herramientas utilizadas para cifrar y descifrar los mensajes para que resulte imposible conocer su contenido a los que no dispongan de unas claves determinadas, es muy utilizado en comunicaciones y en el almacenamiento de ficheros. Hotfixs: Paquete acumulativo que incluye uno o más archivos que son usados para identificar y solucionar un problema en un programa. En general, son hechos para clientes específicos de un software y no para ser distribuidos ni comercializados. Hypertext Transfer Protocol: HTTP es un protocolo sin estado, es decir, que no guarda ninguna información sobre conexiones anteriores. Para esto se usan las cookies, que es información que un servidor puede almacenar en el sistema cliente. Hub: Un hub o concentrador es un dispositivo que canaliza el cableado de una red para ampliarla y repetir la misma señal a través de diferentes puertos. 237

255 I Internet: conjunto descentralizado de redes de comunicación interconectadas, que utilizan la familia de protocolos TCP/IP, garantizando que las redes físicas heterogéneas que la componen funcionen como una red lógica única, de alcance mundial. ISO/IEC 17799: Proporciona recomendaciones de las mejores prácticas en la gestión de la seguridad de la información a todos los interesados y responsables en iniciar, implantar o mantener sistemas de gestión de la seguridad de la información. ISO 27001: El estándar para la seguridad de la información, Especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema de Gestión de la Seguridad de la Información. ITIL: Information Technology Infrastructure Library, es una colección de las mejores prácticas observadas en la industria de TI. Es un conjunto de libros en los cuales se encuentran documentados todos los procesos referentes a la provisión de servicios de tecnología de información hacia las organizaciones. Piratas informáticos: Es aquél que hace uso de los recursos libres y / o de pago que pueden ser movidos a través de las vías de la información para beneficio propio, que puede ser lucrativo o de otro tipo. Por extensión, se considera pirata informático a quien hace uso de software que no ha adquirido en forma legal o a los costos formales. J K Keylogger: Es un diagnóstico utilizado en el desarrollo de software que se encarga de registrar las pulsaciones que se realizan sobre el teclado, para memorizarlas en un fichero o enviarlas a través de Internet. L 238

256 M Malware: La palabra malware es la abreviatura de la palabra malicious software. Este programa es sumamente peligroso para la pc, esta creado para insertar gusanos, spyware, virus, troyanos o incluso los bots, intentando conseguir algún objetivo como por ejemplo recoger información sobre el usuario de internet o sacar informacion de la propia pc de un usuario. N O OSI: Siglas que significan Open Systems Interconnection o Interconexión de Sistemas Abiertos. Es un modelo o referente creado por la ISO para la interconexión en un contexto de sistemas abiertos. Se trata de un modelo de comunicaciones estándar entre los diferentes terminales y host. Las comunicaciones siguen unas pautas de siete niveles preestablecidos que son Físico, Enlace, Red, Transporte, Sesión, Presentación y Aplicación. P Password: Forma de autentificación que utiliza información secreta para controlar el acceso hacia algún recurso. La contraseña normalmente debe mantenerse en secreto ante aquellos a quien no se le permite el acceso. Pharming: Es la explotación de una vulnerabilidad en el software de los servidores DNS (Domain Name System), o en el de los equipos de los propios usuarios, que permite a un atacante redireccionar un nombre de dominio a otra máquina distinta. De esta forma un usuario que introduzca un determinado nombre de dominio, que haya sido redireccionado, en su explorador de internet, accederá a la página web que el atacante haya especificado para ese nombre de dominio. Phising: Es un tipo de engaño creado por hackers malintencionados, con el objetivo de obtener información importante como números de tarjetas de crédito, claves, datos de cuentas bancarias, etc. El objetivo más común, suele ser la obtención de dinero del usuario que cae en la trampa. Por lo general, el engaño se basa en la ignorancia del usuario al ingresar a un sitio que presume legal o auténtico. 239

257 Pptp: Es un protocolo desarrollado por Microsoft, U.S. Robotics, Ascend Communications, 3Com/Primary Access, ECI Telematics conocidas colectivamente como PPTP Forum, para implementar redes privadas virtuales o VPN. Ppp: Protocolo de punto a punto. Se utiliza para la transmisión de información entre ordenadores por vía telefónica. PSI: Políticas de seguridad informática, forma de comunicarse con los usuarios, ya que las mismas establecen un canal formal de actuación del personal, en relación con los recursos y servicios informáticos de la organización. Protocolos: Método establecido de intercambiar datos en Internet. Un protocolo es un método por el cual dos ordenadores acuerdan comunicarse, una especificación que describe cómo los ordenadores hablan el uno al otro en una red. Puertos well known: Puertos bien conocidos, comprendidos entre 0 y Estos puertos pueden ser representados con 10 bits y son reservados para servicios conocidos. Q R Redes de Datos: Es un sistema de comunicación entre computadoras que permite la transmisión de datos de una máquina a la otra, con lo que se lleva adelante entre ellas un intercambio de todo tipo de información y de recursos. Red WIFI: Son a aquellas redes de telecomunicaciones en donde la interconexión entre nodos es implementada sin utilizar cables. Las redes inalámbricas de telecomunicaciones son generalmente implementadas con algún tipo de sistema de transmisión de información que usa ondas electromagnéticas, como las ondas de radio. Root: Directorio inicial (raíz) de un sistema de archivos. Routers: También conocido como Enrutador y encaminador. Interconecta segmentos de red o redes enteras. Hace pasar paquetes de datos entre redes tomando como base la información de la capa de red. Toma decisiones (basado en diversos parámetros) con respecto a la mejor ruta para el envío de datos a través de una red interconectada y luego redirige los paquetes hacia el segmento y el puerto de salida adecuados. 240

258 S Seguridad Informática: Consiste en asegurar que los recursos de una organización sean utilizados de la manera que se decidió y que el acceso a la información allí contenida, así como su modificación, sólo sea posible a las personas que se encuentren acreditadas y dentro de los límites de su autorización. Servidores: Es un tipo de software que realiza ciertas tareas en nombre de los usuarios. El término servidor ahora también se utiliza para referirse al ordenador físico en el cual funciona ese software, una máquina cuyo propósito es proveer datos de modo que otras máquinas puedan utilizar esos datos. SGSI: Sistema de Gestión de la seguridad de la Información, como el nombre lo sugiere, un conjunto de políticas de administración de la información. El término es utilizado principalmente por la ISO/IEC Smartphones: Teléfono móvil que incorpora características de una computadora personal. Los smartphones suelen permitir al usuario instalar nuevas aplicaciones, aumentando así sus funcionalidades. Esto es posible porque ejecutan un sistema operativo potente de fondo. Spam: Son mensajes no solicitados y enviados comúnmente en cantidades masivas. Aunque se puede hacer por distintas vías, la más utilizada entre el público en general es por correo electrónico. Otras tecnologías de Internet que han sido objeto de spam incluyen grupos de noticias, motores de búsqueda y blogs. El spam también puede tener como objetivo los celulares a través de mensajes de texto y los sistemas de mensajería instantánea. Symantec: Es una corporación internacional que produce software, especialmente relacionado a la seguridad. Fue fundada en 1982 y tiene su cuartel central en Cupertino, California (EE.UU.), y tiene operaciones en más de 40 países. Switch: Un switch o conmutador es un dispositivo de interconexión de redes informáticas. Un conmutador suele mejorar el rendimiento y seguridad de una red de área local. T TCP: Es el Protocolo de Control de Transmisión que permite a dos anfitriones establecer una conexión e intercambiar datos. El TCP garantiza la entrega de datos, es decir, que los datos no se 241

259 pierdan durante la transmisión y también garantiza que los paquetes sean entregados en el mismo orden en el cual fueron enviados. Telnet: Sistema que permite conectarse a un host o servidor en donde el ordenador cliente hace de terminal virtual del ordenador servidor. Es un protocolo que permite acceder mediante una red a otra máquina y manejarla, siempre en modo terminal (no hay gráficos). Tecnologías de la Información: Son un conjunto de técnicas, desarrollos y dispositivos avanzados que integran funcionalidades de almacenamiento, procesamiento y transmisión de datos. TIC: Las Tecnologías de la Información y la Comunicación, también conocidas como TIC, son el conjunto de tecnologías desarrolladas para gestionar información y enviarla de un lugar a otro. Abarcan un abanico de soluciones muy amplio. Incluyen las tecnologías para almacenar información y recuperarla después, enviar y recibir información de un sitio a otro, o procesar información para poder calcular resultados y elaborar informes. Token Ring: Es un protocolo para redes de área local de IBM. En síntesis consiste en la presencia de un testigo (token) que circula a través de la red. Cuando una estación o nodo desea transmitir, debe esperar al paso del testigo en condiciones de transportar la información. Troyano: Se denomina troyano o caballo de troya a un programa malware capaz de alojarse en computadoras y permitir el acceso a usuarios externos, a través de una red local o de Internet, con el fin de recompilar información o controlar remotamente a la máquina de algún usuario, pero sin afectar el funcionamiento de ésta. U UDP: Son las siglas de Protocolo de Datagrama de Usuario, un protocolo sin conexión que. UDP proporciona muy pocos servicios de recuperación de errores, ofreciendo en su lugar una manera directa de enviar y recibir datagramas a través una red IP. Se utiliza sobre todo cuando la velocidad es un factor importante en la transmisión de la información, por ejemplo, RealAudio utiliza el UDP. V Virus informático: Los virus, habitualmente, reemplazan archivos ejecutables por otros infectados con el código de este. Los virus pueden destruir, de manera intencionada, los datos almacenados 242

260 en un ordenador, aunque también existen otros más "benignos", que solo se caracterizan por ser molestos. VLAN: Consiste en una red de ordenadores que se comportan como si estuviesen conectados al mismo conmutador, aunque pueden estar en realidad conectados físicamente a diferentes segmentos de una red de área local. VOIP: Son las siglas de Voice over Internet Protocol (Voz sobre Protocolo de Internet o Telefonía IP), una categoría de hardware y software que permite a la gente utilizar Internet como medio de transmisión de llamadas telefónicas, enviando datos de voz en paquetes usando el IP en lugar de los circuitos de transmisión telefónicos. VPN: Red de comunicaciones de área ancha provista por una portadora común que suministra aquello que asemeja líneas dedicadas cuando se utilizan, pero las troncales de base se comparten entre todos los clientes como en una red pública. Permite configurar una red privada dentro de una red pública. W Warez (copias ilegales de programas comerciales): Término que define la recolección de intercambio de software comercial sin comprarlo y sin pagar derechos de autor. X Y Z 243

261

262 CONSTITUCIÓN POLÍTICA FEDERAL - (Publicada en el Diario Oficial de la Federación el 5 de febrero de 1917) Artículo 6. La manifestación de las ideas no sea objeto de ninguna inquisición judicial o administrativa, sino en el caso de que ataque a la moral, los derechos de tercero, provoque algún delito, o perturbe el orden público; el derecho a la información será garantizado por el Estado. LEY DE INFORMACION ESTADISTICA Y GEOGRAFICA - (Publicada en el Diario Oficial de la Federación el 30 de diciembre de 1980) Artículo 3.Para los efectos de esta Ley se entenderá por: I.- Información Estadística: el conjunto de resultados cuantitativos que se obtiene de un proceso sistemático de captación, tratamiento y divulgación de datos primarios obtenidos de los particulares, empresas e instituciones sobre hechos que son relevantes para el estudio de los fenómenos económicos, demográficos y sociales; VII.- Informática: Tecnología para el tratamiento sistemático y racional de la información mediante al procesamiento electrónico de datos. Artículo 5. La Ley garantiza a los informantes de datos estadísticos la confidencialidad de los que proporcionen. El Ejecutivo expedirá las normas que regulen la circulación y aseguren el acceso del público a la información estadística y geográfica producida.

263 CODIGO PENAL FEDERAL - (Publicado en el Diario Oficial de la Federación el 14 de agosto de 1931) TITULO QUINTO Delitos en Materia de Vías de Comunicación y Correspondencia CAPITULO II Violación de correspondencia Artículo 173. Se aplicarán de tres a ciento ochenta jornadas de trabajo en favor de la comunidad: I.- Al que abra indebidamente una comunicación escrita que no esté dirigida a él, y II.- Al que indebidamente intercepte una comunicación escrita que no esté dirigida a él, aunque la conserve cerrada y no se imponga de su contenido. Los delitos previstos en este artículo se perseguirán por querella. Artículo 174. No se considera que obren delictuosamente los padres que abran o intercepten las comunicaciones escritas dirigidas a sus hijos menores de edad, y los tutores respecto de las personas que se hallen bajo su dependencia, y los cónyuges entre sí. TITULO NOVENO Revelación de secretos y acceso ilícito a sistemas y equipos de informática CAPITULO I Revelación de secretos Artículo 210. Se impondrán de treinta a doscientas jornadas de trabajo en favor de la comunidad, al que sin justa causa, con perjuicio de alguien y sin consentimiento del que pueda resultar perjudicado, revele algún secreto o comunicación reservada que conoce o ha recibido con motivo de su empleo, cargo o puesto. Artículo 211. La sanción será de uno a cinco años, multa de cincuenta a quinientos pesos y suspensión de profesión en su caso, de dos meses a un año, cuando la revelación punible sea hecha por persona que presta servicios profesionales o técnicos o por funcionario o empleado público o cuando el secreto revelado o publicado sea de carácter industrial.

264 Artículo 211 Bis. A quien revele, divulgue o utilice indebidamente o en perjuicio de otro, información o imágenes obtenidas en una intervención de comunicación privada, se le aplicarán sanciones de seis a doce años de prisión y de trescientos a seiscientos días multa. Capitulo II Acceso ilícito a sistemas y equipos de informática Artículo 211 bis 1. Al que sin autorización modifique, destruya o provoque pérdida de información contenida en sistemas o equipos de informática protegidos por algún mecanismo de seguridad, se le impondrán de seis meses a dos años de prisión y de cien a trescientos días multa. Al que sin autorización conozca o copie información contenida en sistemas o equipos de informática protegidos por algún mecanismo de seguridad, se le impondrán de tres meses a un año de prisión y de cincuenta a ciento cincuenta días multa. Artículo 211 bis 2. Al que sin autorización modifique, destruya o provoque pérdida de información contenida en sistemas o equipos de informática del Estado, protegidos por algún mecanismo de seguridad, se le impondrán de uno a cuatro años de prisión y de doscientos a seiscientos días multa. Al que sin autorización conozca o copie información contenida en sistemas o equipos de informática del Estado, protegidos por algún mecanismo de seguridad, se le impondrán de seis meses a dos años de prisión y de cien a trescientos días multa. Artículo 211 bis 3. Al que estando autorizado para acceder a sistemas y equipos de informática del Estado, indebidamente modifique, destruya o provoque pérdida de información que contengan, se le impondrán de dos a ocho años de prisión y de trescientos a novecientos días multa. Al que estando autorizado para acceder a sistemas y equipos de informática del Estado, indebidamente copie información que contengan, se le impondrán de uno a cuatro años de prisión y de ciento cincuenta a cuatrocientos cincuenta días multa. Artículo 211 bis 4. Al que sin autorización modifique, destruya o provoque pérdida de información contenida en sistemas o equipos de informática de las instituciones que integran el sistema financiero, protegidos por algún mecanismo de seguridad, se le impondrán de seis meses a cuatro años de prisión y de cien a seiscientos días multa. Al que sin autorización conozca o copie información contenida en sistemas o equipos de informática de las instituciones que integran el sistema financiero, protegidos por algún mecanismo de seguridad, se le impondrán de tres meses a dos años de prisión y de cincuenta a trescientos días multa.

265 Artículo 211 bis 5. Al que estando autorizado para acceder a sistemas y equipos de informática de las instituciones que integran el sistema financiero, indebidamente modifique, destruya o provoque pérdida de información que contengan, se le impondrán de seis meses a cuatro años de prisión y de cien a seiscientos días multa. Al que estando autorizado para acceder a sistemas y equipos de informática de las instituciones que integran el sistema financiero, indebidamente copie información que contengan, se le impondrán de tres meses a dos años de prisión y de cincuenta a trescientos días multa. Las penas previstas en este artículo se incrementarán en una mitad cuando las conductas sean cometidas por funcionarios o empleados de las instituciones que integran el sistema financiero. Artículo 211 bis 6. Para los efectos de los artículos 211 Bis 4 y 211 Bis 5 anteriores, se entiende por instituciones que integran el sistema financiero, las señaladas en el artículo 400 Bis de este Código. Artículo 211 bis 7. Las penas previstas en este capítulo se aumentarán hasta en una mitad cuando la información obtenida se utilice en provecho propio o ajeno. TITULO VIGESIMO SEXTO De los Delitos en Materia de Derechos de Autor Artículo 424 bis. Se impondrá prisión de tres a diez años y de dos mil a veinte mil días multa: II. A quien fabrique con fin de lucro un dispositivo o sistema cuya finalidad sea desactivar los dispositivos electrónicos de protección de un programa de computación. Artículo 426. Se impondrá prisión de seis meses a cuatro años y de trescientos a tres mil días multa, en los casos siguientes: I. A quien fabrique, importe, venda o arriende un dispositivo o sistema para descifrar una señal de satélite cifrada, portadora de programas, sin autorización del distribuidor legítimo de dicha señal, y II. A quien realice con fines de lucro cualquier acto con la finalidad de descifrar una señal de satélite cifrada, portadora de programas, sin autorización del distribuidor legítimo de dicha señal.

266 LEY FEDERAL DEL DERECHO DE AUTOR - (Publicada en el Diario Oficial de la Federación el 26 de diciembre de 1996) TITULO SEGUNDO Del Derecho de Autor CAPITULO I Reglas generales Artículo 13. Los derechos de autor a que se refiere esta Ley se reconocen respecto de las obras de las siguientes ramas: XI. Programas de cómputo; XIV. De compilación, integrada por las colecciones de obras, tales como las enciclopedias, las antologías, y de obras u otros elementos como las bases de datos, siempre que dichas colecciones, por su selección o la disposición de su contenido o materias, constituyan una creación intelectual. Las demás obras que por analogía puedan considerarse obras literarias o artísticas se incluirán en la rama que les sea más afín a su naturaleza. TITULO QUINTO De los Derechos Conexos CAPITULO IV De los Programas de Computación y las Bases de Datos Artículo 101. Se entiende por programa de computación la expresión original en cualquier forma, lenguaje o código, de un conjunto de instrucciones que, con una secuencia, estructura y organización determinada, tiene como propósito que una computadora o dispositivo realice una tarea o función específica. Artículo 102. Los programas de computación se protegen en los mismos términos que las obras literarias. Dicha protección se extiende tanto a los programas operativos como a los programas aplicativos, ya sea en forma de código fuente o de código objeto. Se exceptúan aquellos programas de cómputo que tengan por objeto causar efectos nocivos a otros programas o equipos.

267 Artículo 103. Salvo pacto en contrario, los derechos patrimoniales sobre un programa de computación y su documentación, cuando hayan sido creados por uno o varios empleados en el ejercicio de sus funciones o siguiendo las instrucciones del empleador, corresponden a éste. Como excepción a lo previsto por el artículo 33 de la presente Ley, el plazo de la cesión de derechos en materia de programas de computación no está sujeto a limitación alguna. Artículo 104. Como excepción a lo previsto en el artículo 27 fracción IV, el titular de los derechos de autor sobre un programa de computación o sobre una base de datos conservará, aún después de la venta de ejemplares de los mismos, el derecho de autorizar o prohibir el arrendamiento de dichos ejemplares. Este precepto no se aplicará cuando el ejemplar del programa de computación no constituya en símismo un objeto esencial de la licencia de uso. Artículo 105. El usuario legítimo de un programa de computación podrá realizar el número de copias que le autorice la licencia concedida por el titular de los derechos de autor, o una sola copia de dicho programa siempre y cuando: I. Sea indispensable para la utilización del programa, o II. Sea destinada exclusivamente como resguardo para sustituir la copia legítimamente adquirida, cuando ésta no pueda utilizarse por daño o pérdida. La copia de respaldo deberá ser destruida cuando cese el derecho del usuario para utilizar el programa de computación. Artículo 106. El derecho patrimonial sobre un programa de computación comprende la facultad de autorizar o prohibir: I. La reproducción permanente o provisional del programa en todo o en parte, por cualquier medio y forma; II. La traducción, la adaptación, el arreglo o cualquier otra modificación de un programa y la reproducción del programa resultante; III. Cualquier forma de distribución del programa o de una copia del mismo, incluido el alquiler, y IV. La descompilación, los procesos para revertir la ingeniería de un programa de computación y el desensamblaje.

268 Artículo 107. Las bases de datos o de otros materiales legibles por medio de máquinas o en otra forma, que por razones de selección y disposición de su contenido constituyan creaciones intelectuales, quedarán protegidas como compilaciones. Dicha protección no se extenderá a los datos y materiales en sí mismos. Artículo 108. Las bases de datos que no sean originales quedan, sin embargo, protegidas en su uso exclusivo por quien las haya elaborado, durante un lapso de 5 años. Artículo 109. El acceso a información de carácter privado relativa a las personas contenida en las bases de datos a que se refiere el artículo anterior, así como la publicación, reproducción, divulgación, comunicación pública y transmisión de dicha información, requerirá la autorización previa de las personas de que se trate. Quedan exceptuados de lo anterior, las investigaciones de las autoridades encargadas de la procuración e impartición de justicia, de acuerdo con la legislación respectiva, así como el acceso a archivos públicos por las personas autorizadas por la ley, siempre que la consulta sea realizada conforme a los procedimientos respectivos. Artículo 110. El titular del derecho patrimonial sobre una base de datos tendrá el derecho exclusivo, respecto de la forma de expresión de la estructura de dicha base, de autorizar o prohibir: I. Su reproducción permanente o temporal, total o parcial, por cualquier medio y de cualquier forma; II. Su traducción, adaptación, reordenación y cualquier otra modificación; III. La distribución del original o copias de la base de datos; IV. La comunicación al público, y V. La reproducción, distribución o comunicación pública de los resultados de las operaciones mencionadas en la fracción II del presente artículo. Artículo 111. Los programas efectuados electrónicamente que contengan elementos visuales, sonoros, tridimensionales o animados quedan protegidos por esta Ley en los elementos primigenios que contengan. Artículo 112. Queda prohibida la importación, fabricación, distribución y utilización de aparatos o la prestación de servicios destinados a eliminar la protección técnica de los programas de cómputo, de las transmisiones a través del espectro electromagnético y de redes de telecomunicaciones y de los programas de elementos electrónicos señalados en el artículo anterior.

269 Artículo 113. Las obras e interpretaciones o ejecuciones transmitidas por medios electrónicos a través del espectro electromagnético y de redes de telecomunicaciones y el resultado que se obtenga de esta transmisión estarán protegidas por esta Ley. Artículo 114. La transmisión de obras protegidas por esta Ley mediante cable, ondas radioeléctricas, satélite u otras similares, deberán adecuarse, en lo conducente, a la legislación mexicana y respetar en todo caso y en todo tiempo las disposiciones sobre la materia. Artículo 231. Constituyen infracciones en materia de comercio las siguientes conductas cuando sean realizadas con fines de lucro directo o indirecto: V. Importar, vender, arrendar o realizar cualquier acto que permita tener un dispositivo o sistema cuya finalidad sea desactivar los dispositivos electrónicos de protección de un programa de computación; LEY FEDERAL DE TELECOMUNICACIONES - Nueva Ley publicada en el Diario Oficial de la Federación el 7 de junio de 1995 Sección Tercera De las Concesiones sobre Redes Públicas de Telecomunicaciones Artículo 24. Los interesados en obtener una concesión para instalar, operar o explotar redes públicas de telecomunicaciones, deberán presentar, a satisfacción de la Secretaría, solicitud que contenga como mínimo: I. Nombre y domicilio del solicitante; II. Los servicios que desea prestar; III. Las especificaciones técnicas del proyecto; IV. Los programas y compromisos de inversión, de cobertura y calidad de los servicios que se pretenden prestar; V. El plan de negocios, y VI. La documentación que acredite su capacidad financiera, técnica, jurídica y administrativa. Lo anterior, sin perjuicio de obtener, en su caso, concesión para explotar bandas de frecuencias en los términos del artículo 14.

270 Sección Cuarta De las Concesiones para Comunicación Vía Satélite Artículo 29. Las concesiones para ocupar y explotar posiciones orbitales geoestacionarias y órbitas satelitales asignadas al país, con sus respectivas bandas de frecuencias y derechos de emisión y recepción de señales, se otorgarán mediante el procedimiento de licitación pública a que se refiere la Sección II del presente Capítulo, a cuyo efecto el Gobierno Federal podrá requerir una contraprestación económica por el otorgamiento de dichas concesiones. Tratándose de dependencias y entidades de la administración pública federal, la Secretaría otorgará mediante asignación directa dichas posiciones orbitales geoestacionarias y órbitas satelitales. Artículo 30. La Secretaría podrá otorgar concesiones sobre los derechos de emisión y recepción de señales y bandas de frecuencias asociadas a sistemas satelitales extranjeros que cubran y puedan prestar servicios en el territorio nacional, siempre y cuando se tengan firmados tratados en la materia con el país de origen de la señal y dichos tratados contemplen reciprocidad para los satélites mexicanos. Estas concesiones sólo se otorgarán a personas morales constituidas conforme a las leyes mexicanas. Asimismo, podrán operar en territorio mexicano los satélites internacionales establecidos al amparo de tratados internacionales multilaterales de los que el país sea parte. Sección Quinta De los Permisos Artículo 31. Se requiere permiso de la Secretaría para: I. Establecer y operar o explotar una comercializadora de servicios de telecomunicaciones sin tener el carácter de red pública, y II. Instalar, operar o explotar estaciones terrenas transmisoras. Artículo 32. Los interesados en obtener permiso deberán presentar solicitud a la Secretaría, la cual contendrá, en lo conducente, lo establecido en el artículo 24. La Secretaría analizará y evaluará la documentación correspondiente a la solicitud a que se refiere el párrafo anterior en un plazo no mayor de 90 días naturales, dentro del cual podrá requerir a los interesados información adicional.

271 Una vez cumplidos, a satisfacción, los requisitos a que se refiere el artículo anterior, la Secretaría otorgará el permiso correspondiente. Artículo 33. Para la prestación de servicios de valor agregado bastará su registro ante la Secretaría. Artículo 34. No se requerirá permiso de la Secretaría para la instalación y operación de estaciones terrenas receptoras. La Secretaría podrá exentar de los requerimientos de permiso a aquellas estaciones terrenas transmisoras que, por cumplir con las normas establecidas, no ocasionen interferencia perjudicial en otros sistemas de telecomunicaciones. CAPITULO IV. De la operación de servicios de telecomunicaciones Sección Primera De la Operación e Interconexión de Redes Públicas de Telecomunicaciones Artículo 41. Los concesionarios de redes públicas de telecomunicaciones deberán adoptar diseños de arquitectura abierta de red para permitir la interconexión e interoperabilidad de sus redes. A tal efecto, la Secretaría elaborará y administrará los planes técnicos fundamentales de numeración, conmutación, señalización, transmisión, tarifación y sincronización, entre otros, a los que deberán sujetarse los concesionarios de redes públicas de telecomunicaciones. Dichos planes deberán considerar los intereses de los usuarios y de los concesionarios y tendrán los siguientes objetivos: I. Permitir un amplio desarrollo de nuevos concesionarios y servicios de telecomunicaciones; II. Dar un trato no discriminatorio a los concesionarios, y III. Fomentar una sana competencia entre concesionarios. Artículo 42. Los concesionarios de redes públicas de telecomunicaciones deberán interconectar sus redes, y a tal efecto suscribirán un convenio en un plazo no mayor de 60 días naturales contados a partir de que alguno de ellos lo solicite. Transcurrido dicho plazo sin que las partes hayan celebrado el convenio, o antes si así lo solicitan ambas partes, la Secretaría, dentro de los 60 días naturales siguientes, resolverá sobre las condiciones que no hayan podido convenirse.

272 Artículo 43. En los convenios de interconexión a que se refiere el artículo anterior, las partes deberán: I. Identificar los puntos de conexión terminal de su red; II. Permitir el acceso de manera desagregada a servicios, capacidad y funciones de sus redes sobre bases de tarifas no discriminatorias; III. Abstenerse de otorgar descuentos por volumen en las tarifas de interconexión; IV. Actuar sobre bases de reciprocidad en la interconexión entre concesionarios que se provean servicios, capacidades o funciones similares entre sí, en tarifas y condiciones; V. Llevar a cabo la interconexión en cualquier punto de conmutación u otros en que sea técnicamente factible; VI. Prever que los equipos necesarios para la interconexión puedan ser proporcionados por cualquiera de los concesionarios y ubicarse en las instalaciones de cualquiera de ellos; VII. Establecer mecanismos para garantizar que exista adecuada capacidad y calidad para cursar el tráfico demandado entre ambas redes; VIII. Entregar la comunicación al operador seleccionado por el suscriptor en el punto más próximo en que sea técnicamente eficiente; IX. Entregar la comunicación a su destino final o a un concesionario o combinación de concesionarios que puedan hacerlo; X. Proporcionar toda la información necesaria que les permita identificar los números de origen y destino, así como a los usuarios que deben pagar por la llamada, la hora, y si hubo asistencia de operadora, y XI. Llevar a cabo, si así se solicita, las tareas de medir y tasar los servicios prestados a sus propios usuarios por parte de otros concesionarios, así como proporcionar la información necesaria y precisa para la facturación y cobro respectivos. Artículo 44. Los concesionarios de redes públicas de telecomunicaciones deberán: I. Permitir a concesionarios y permisionarios que comercialicen los servicios y capacidad que hayan adquirido de sus redes públicas de telecomunicaciones; II. Abstenerse de interrumpir el tráfico de señales de telecomunicaciones entre concesionarios interconectados, sin la previa autorización de la Secretaría;

273 III. Abstenerse de realizar modificaciones a su red que afecten el funcionamiento de los equipos de los usuarios o de las redes con las que esté interconectada, sin contar con la anuencia de las partes afectadas y sin la aprobación previa de la Secretaría; IV. Llevar contabilidad separada por servicios y atribuirse a sí mismo y a sus subsidiarias y filiales, tarifas desagregadas y no discriminatorias por los diferentes servicios de interconexión; V. Permitir la portabilidad de números cuando, a juicio de la Secretaría, esto sea técnica y económicamente factible; VI. Proporcionar de acuerdo a lo que establezcan los títulos de concesión respectivos, los servicios al público de manera no discriminatoria; VII. Prestar los servicios sobre las bases tarifarias y de calidad contratadas con los usuarios; VIII. Permitir la conexión de equipos terminales, cableados internos y redes privadas de los usuarios, que cumplan con las normas establecidas; IX. Abstenerse de establecer barreras contractuales técnicas o de cualquier naturaleza a la conexión de cableados ubicados dentro del domicilio de un usuario con otros concesionarios de redes públicas, y X. Actuar sobre bases no discriminatorias al proporcionar información de carácter comercial, respecto de sus suscriptores, a filiales, subsidiarias o terceros. Artículo 45. Cuando las condiciones técnicas, de seguridad y operación lo permitan, los derechos de vía de las vías generales de comunicación; las torres de transmisión eléctrica y de radiocomunicación; las posterías en que estén instalados cableados de distribución eléctrica; los terrenos adyacentes a los ductos de petróleo y demás carburos de hidrógeno; así como los postes y ductos en que estén instalados cableados de redes públicas de telecomunicaciones, que se hagan disponibles a algún concesionario de redes públicas deberán hacerse disponibles, de igual forma, a otros concesionarios sobre bases no discriminatorias. En consecuencia, ningún concesionario de redes públicas de telecomunicaciones podrá contratar el uso o aprovechamiento de dichos bienes con derechos de exclusividad. Artículo 46. La Secretaría promoverá acuerdos con las autoridades extranjeras, con el propósito de que exista reciprocidad en las condiciones de acceso de los concesionarios nacionales interesados en ofrecer servicios en el exterior y mayor competencia en larga distancia internacional. 256

274 Artículo 47. Sólo podrán instalar equipos de telecomunicaciones y medios de transmisión que crucen las fronteras del país, los concesionarios de redes públicas o las personas que expresamente autorice la Secretaría, sin perjuicio de las demás disposiciones aplicables. La interconexión de redes públicas de telecomunicaciones con redes extranjeras se llevará a cabo mediante convenios que negocien las partes interesadas. Los concesionarios deberán presentar a la Secretaría, previamente a su formalización, los convenios de interconexión que se pretenden celebrar. Cuando se estime que dichos convenios perjudican los intereses del país en general, de los usuarios o de otros concesionarios de redes públicas de telecomunicaciones, la Secretaría podrá establecer las modalidades a que deberán sujetarse los convenios, a fin de incorporar condiciones de proporcionalidad y reciprocidad respecto de los servicios objeto de la interconexión. Cuando fuere necesario celebrar convenios con algún gobierno extranjero para interconectar las redes concesionadas con redes extranjeras, los concesionarios solicitarán a la Secretaría su intervención para celebrar los convenios respectivos. Artículo 48. La Secretaria establecerá las medidas conducentes para que los usuarios de todas las redes publicas de telecomunicaciones puedan obtener acceso bajo condiciones equitativas, a servicios de informacio, de directorio, de emergencia, de cobro revertido y via operadora, entre otros. Articulo 49. La informacion que se transmita a traves de las redes y servicios de telecomunicaciones sera confidencial, salvo aquella que por su propia naturaleza, sea publica, o cuando medie orden de autoridad competente.

275 1. Tiene conexión permanente a Internet? Sí No 2. Su empresa permite acceso ilimitado a sus empleados para navegar en Internet? Sí No No lo sé 3. Su empresa posee aplicaciones para los clientes? Sí No 4. Los usuarios internos y externos usan los recursos del mismo segmento de red? Sí No No lo sé 5. Los usuarios externos se conectan directamente a los sistemas internos de la aplicación para acceder a los datos, actualizar los registros o gestionar de cualquier otra forma la información? Sí No No lo sé 6. Su empresa permite que los empleados accedan a la red corporativa? Sí No No lo sé

276 7. Permite que sus empleados utilicen sistemas que no sean de producción, como por ejemplo: servidores Web personales o equipos que actúen como hosts de proyectos personales? Sí No No lo sé 8. Aparte de los medios de respaldo, su empresa permite a los empleados procesar información corporativa fuera de las instalaciones? Sí No No lo sé 9. Puede operar la empresa si la red de datos no está disponible? Sí No No lo sé 10. Su empresa comparte oficina con otras entidades? Sí No 11. Subcontrata su empresa el mantenimiento o la propiedad de alguna parte de su infraestructura? Sí No Subcontratar la implantación de la infraestructura conlleva un mayor riesgo para el entrono debido a la dependencia generada en recursos externos. 12. Tienes su empresa planificaciones para la selección y utilización de componentes de nuevas tecnologías? Sí No No lo sé La falla de planificación para la utilización de las tecnologías aumenta la posibilidad de tiempos de inactividad y de ataques.

277 13. Cree que su empresa participa en la adopción rápida de las nuevas tecnologías? Sí No No lo sé 14. Amplía su empresa su red mediante la adquisición de nuevas empresas con sus entornos correspondientes? Sí No La empresa en rápido auge también experimenta cambios rápidos en su entorno. Estos cambios rápidos y continuos podrían resultar en un entorno inestable. 15. Permite su empresa que los empleados descarguen a sus estaciones de trabajo o equipos portátiles datos corporativos o datos confidenciales de los clientes? Sí No No lo sé Permitir la descarga de información confidencial en estaciones de trabajo portátiles aumenta el riesgo de robo o de pérdida de datos. 16. Limita su empresa el acceso a la información en función de los roles de los usuarios? Sí No No lo sé El acceso a los datos y a las aplicaciones confidenciales debe limitarse conforme a los privilegios de las cuentas individuales. Es importante dispones de mecanismos para el cumplimiento de estas limitaciones a fin de evitar traspasos de información no autorizados. 17. Implanta su empresa nuevos servicios o aplicaciones antes de evaluar los posibles riesgos para la seguridad? Sí No No lo sé

278 Los elementos de una nueva instalación deben analizarse y probarse antes de utilizarse en un entorno de producción para comprobar que no son vulnerables. 18. Cambia su empresa periódicamente las credenciales de las cuentas con privilegios? Sí No No lo sé Para reducir el impacto del ataque por fuerza bruta sobre la autenticación de cuentas con privilegios, las contraseñas de tales cuentas deben cambiarse regularmente. 19. Cambia su empresa las credenciales de las cuentas con privilegios cuando el personal deja de trabajar en la empresa? Sí No No lo sé Para reducir los riesgos empresariales, las contraseñas de las cuentas con privilegios deben cambiarse de forma inmediata tras el cese de un empleado con acceso a esas cuentas. 261

279 VALORES DE EVALUACION DE LA SECCIÓN Pregunta Vulnerabilidad Escala Respuesta Protección Escala Respuesta Si No Si - No lo Sé No Si No Si - No lo Sé No Si - No lo Sé No Si - No lo Sé No Si - No lo Sé No Si - No lo Sé No No - No lo se Si Si No Si No No - No lo se Si No - No lo se Si Si - No lo Sé No Si No Si - No lo Sé No Si - No lo Sé No No - No lo se Si No - No lo se Si No - No lo se Si Tabla No.1 Valores de Evaluación de la Sección

280 1. Su empresa utiliza firewalls u otros controles de acceso en los perímetros de la red para proteger sus recursos? Sí No No lo sé Los firewalls son un elemento importante para proteger las redes contra ataques. Es por ello que los firewalls, u otros controles de acceso a nivel de red, son imprescindibles para la seguridad de la empresa En caso de responder Sí: 2. Su empresa aplica estos controles en todas las oficinas? Sí No No lo sé 2.1. Su empresa usa una red DMZ para separar redes internas y externas de los servicios albergados? Sí No No lo sé Una red DMZ es un host o una red pequeña insertado como una zona neutra entre la red privada de la empresa y la red pública, impide que los usuarios externos accedan directamente a un servidor con datos de la empresa.

281 3. Su empresa usa firewall en los host para proteger los servidores? Sí No No lo sé El firewall personal implementado en el host proporciona otra capa de defensa frente a las amenazas al extender la funcionalidad del firewall hasta las computadoras de escritorios, equipos portátiles o servidores. 4. Su empresa usa hardware o software de detección de intrusos para identificar los ataques a la seguridad? Sí No No lo sé Conocido como IDS, monitorea y analiza en forma activa el tráfico de la red para determinar si se ha intentado un ataque. 5. Se utiliza antivirus acorde con la cantidad de empleados en la empresa? Sí No No lo sé Es de vital importancia contar un antivirus para proteger la red contra virus que puedan causar la pérdida de datos o tiempos de inactividad, existen distintos tipos de antivirus tanto para red corporativa así como para media y pequeña empresa. En caso de responder Sí: 5.1. Seleccione los sistemas que lo usan: Mail Server Host de perímetro (gateway, Proxy,etc) Computador de escritorio Servidores 6. Se puede acceder a la empresa en forma remota? Sí No

282 Las funciones de conexiones remotas también presentan un frente de ataque. En caso de responder Sí: 6.1. Seleccione quien se puede conectar a la red en forma remota empleados contratistas terceros como fabricantes, socios o clientes 6.2. Se utiliza la tecnología VPN para las conexiones remotas? Sí No No lo sé Una VPN utiliza una infraestructura pública de telecomunicaciones, como Internet, para proporcionar acceso seguro a la red de la empresa a usuarios y oficinas remotas. La autenticación de factores múltiples requiere dos o más de las categorías siguientes: algo que sepa el usuario (ejemplo: contraseña), y algo que sea propio del usuario (ejemplo: huella digital, retina). En caso de responder Sí: Puede La VPN limitar la conectividad a una red aislada en cuarentena hasta que el cliente haya efectuado todas las comprobaciones necesarias? Sí No 7. Se utiliza autenticación de factores múltiples (vales o tarjetas inteligentes) para usuarios remotos? Sí No No lo sé La autenticación de factores múltiples requiere dos o más de las categorías siguientes: algo que sepa el usuario (contraseña), algo que tenga el usuario (vales, tarjetas inteligentes), algo que sea propio del usuario (huella digital, retina). 8. La red tiene más de un segmento? Sí No

283 Una red segmentada le ofrece recursos corporativos y a nivel de cliente separados para evitar la pérdida de información. En caso de un ataque, la segmentación limita el daño posible. En caso de responder Sí: 8.1. La red se segmenta para separar los servicios de usuarios externos y servicios extranet de los recursos corporativos? Sí No En caso de responder Sí: Su empresa agrupa los hosts en segmentos de redes según los roles o servicios similares? Sí No Su empresa agrupa los hosts en segmentos de redes para ofrecer únicamente los servicios necesarios a los usuarios que se conectan? Sí No Se ha creado y documentado un plan para regular la asignación de direcciones TCP/IP a los sistemas según lo segmentos? Sí No Un buen plan de asignación de direcciones asegura que la red este debidamente segmentada. 9. La red dispone de conexión inalámbrica? Sí No Las redes inalámbricas, si se utilizan adecuadamente pueden ayudar a aumentar la productividad. Sin embargo, debido a los puntos débiles que todavía presentan una vez implantadas, pueden ser un foco de entrada propicio para los ataques contra la red.

284 En caso de responder Sí: 9.1. Cuáles son los siguientes controles que utiliza? Cambiar el nombre de la red predeterminado (conocido también como Identificador del conjunto de servicios o SSID) de los puntos de acceso. Desactivar la difusión del SSID. Activar Wired Equivalent Privacy (WEP). Activar restricciones de direcciones MAC (filtrado pos MAC). Conectar el punto de acceso a la red fuera del firewall o en un segmento separado de la red cableada. VALORES DE EVALUACION DE LA SECCIÓN Pregunta Vulnerabilidad Escala Respuesta Protección Escala Respuesta 1-0 o 2 No - No lo se - 0 a 4 Si No - No lo se Si No - No lo se Si No - No lo se - 0 a 3 Si 5-0 a 4 Si - No lo Sé No No - No lo se Si No - No lo se - 0 a 5 Si Si - No lo Sé No Si - No lo Sé - 0 a 4 No Tabla No.1 Valores de Evaluación de la Sección

285 1. Hay controles para hacer cumplir las políticas de seguridad por contraseña en todas las cuentas? Sí No No lo sé Sin los mecanismos adecuados para aplicarlas, las normas para que las contraseñas cumplan con los requerimientos generalmente se ignoran. La mayoría de los sistemas de autenticación permite la aplicación automatizada de normas referente a la longitud, la complejidad y el vencimiento de las contraseñas, entre otros. En caso de responder Sí: 1.1. Seleccione las cuentas para las cuales existen controles que hagan cumplir las políticas de seguridad por contraseña. Administrador Usuario Acceso remoto Las políticas para las contraseñas deben cumplirse en todas las cuentas, no solo en las de los administradores Indique cuál es la opción de autenticación para el acceso administrativo a cargo de los dispositivos y hosts. Autenticación en factores múltiples Contraseña simple Contraseña compleja

286 Las contraseñas simples no tienen restricciones en cuanto a combinación de caracteres y longitud necesaria, por lo que no se deben usar. Sin embargo, las contraseñas complejas requieren una longitud mínima y el uso de caracteres alfanuméricos y especiales. Además de una contraseña, la autenticación de factores múltiples requiere otros elementos de autenticación como por ejemplo: tarjeta inteligente Indique cuál es la opción de autenticación para los accesos a la red y los hosts internos de los usuarios internos: Autenticación en factores múltiples Ninguno Contraseña simple Contraseña compleja 1.4. Indique cual es la opción de autenticación para el acceso remoto de los usuarios: Autenticación en factores múltiples Ninguno Contraseña simple Contraseña compleja 1.5. El bloqueo de cuentas está activado para impedir el acceso a las cuentas tras una serie de intentos de registro fallido? Sí No Para proteger frente a ataques de fuerza bruta, las cuentas deben configurarse para que no permitan el acceso después de una cantidad determinada de intentos fallidos. 2. Hay controles para hacer cumplir las políticas de contraseña para las aplicaciones clave? Sí No 2.1. Seleccione los controles de contraseña implementados en las aplicaciones clave: Contraseñas complejas. Vencimiento de contraseñas. Bloqueo de cuentas.

287 2.2. De la siguiente lista, seleccione el método de autenticación más común usado en las aplicaciones clave: Autenticación de factores múltiples Contraseña simple Contraseña compleja Ninguno Las contraseñas simples no tienen restricciones en cuanto a combinación de caracteres y longitud necesaria, por lo que no se deben usar. Sin embargo, las contraseñas complejas requieren una longitud mínima y el uso de caracteres alfanuméricos y especiales. Además de una contraseña, la autenticación de factores múltiples requiere otros elementos de autenticación como por ejemplo, tarjeta inteligente. 3. Las aplicaciones clave del ambiente cuentan con mecanismos para limitar el acceso a las funciones e información critica? Sí No No lo sé El acceso a aplicaciones y datos sensibles debe limitarse conforme a los privilegios de cada cuenta. Es importante disponer de mecanismos para el cumplimiento de estas limitaciones a fin de evitar traspasos de información no autorizados. 4. Las aplicaciones clave guardan mensajes en archivos con la bitácora del uso para análisis y auditoria? Sí No No lo sé Los archivos con la bitácora del uso son necesarios para auditar actividades sospechosas y anormales.

288 En caso de responder Sí: 4.1. Seleccione los tipos de eventos que se registran: Intentos de autenticación fallidos. Autenticaciones correctas. Errores de aplicación. Se denegó acceso a los recursos. Acceso a recursos permitido. Cambios a los datos. Cambios a las cuentas de usuarios. 5. Las aplicaciones utilizadas validan datos de entrada? Sí No No lo sé Es de vital importancia validar los datos de entrada para evitar que las aplicación procese información peligrosa o incorrecta; de lo contrario, los datos podrían estar sujetos a daños, robos, o incluso se podría ejecutar código binario. En caso de responder Sí: 5.1. De la siguiente lista, seleccione los tipos de entrada de las aplicaciones que se validan: Usuarios finales. Aplicaciones cliente. Alimentación de datos. 6. La información utilizada por los usuarios es encriptada? Sí No No lo sé 7. Las aplicaciones clave encriptan la información critica y sensible que procesan? Sí No No lo sé

289 Los datos sin encriptar se transmiten y almacenan en un formato de texto legible, quedando más susceptibles a robo o traspaso de información. En caso de responder Sí: 7.1. Seleccione las diferentes etapas en que se encriptan los datos: Transmisión y almacenamiento Transmisión Almacenamiento 7.2. Cuáles de los siguientes algoritmos de encriptación utilizan? Estándar de encriptación de datos (DES) DES triple (3DES) RC2, RC4 o RC5 Entándar de encriptación avanzada (AES4)/rinjindael Hash MD5 Hash SHA-1 Twofish Blowfish Algoritmo propio VALORES DE EVALUACION DE LA SECCIÓN Pregunta Vulnerabilidad Escala Respuesta Protección Escala Respuesta No - No lo se - 0 a 6 Si No - No lo se - 0 a 3 Si No - No lo se Si No - No lo se - 0 a 3 Si No - No lo se - 0 a 4 Si No - No lo se - 0 a 4 Si No - No lo se - 0 a 6 Si Tabla No. 1 Valores de Evaluación de la Sección

290 1. Su empresa es la que configura los sistemas o esta tarea la efectúan otros proveedores o distribuidores de hardware? Configurada por personal interno Configurada por un proveedor o distribuidor de hardware La configuración predeterminada con la que llegan los sistemas se crea para maximizar las características disponibles y por lo general no se da importancia a la seguridad. 2. Cuáles de los siguientes elementos se han creado basándose en una configuración documentada o en una imagen formal? Terminales de trabajo Servidores Ninguno Es importante utilizar imágenes documentadas para mantener la uniformidad entre todos lo equipos de escritorio y las terminales de trabajo. Esta uniformidad permitirá una mayor eficacia en la detección y paralización de ataques potenciales Esta configuración incluye procedimientos para robustecer el host? Sí No No lo sé Robustecer el host implica actualizar sistema operativo. Aplicar los parches adecuados, reforzar las configuraciones y auditar el acceso y las vulnerabilidades de los sistemas.

291 3. Cuáles de las soluciones siguientes se han instalado en las terminales de trabajo y los equipos portátiles de los empleados? Software de firewall personal Software de detección y eliminación de spyware Software de encriptación de discos Software de administración/control remoto Protector de pantalla protegido por contraseña MODEM Ninguno 4. Se ha aplicado controles de seguridad físico para garantizar la seguridad de la propiedad de la empresa? Sí No No lo sé Las medidas de seguridad física incluyen cables de bloqueo para equipos portátiles, armarios o racks con llave para servidores/equipos de red y guardias de seguridad Cuál de los siguientes controles de seguridad utiliza? Sistema de alarma para detectar e informar las intrusiones. Equipos de red (conmutadores, cableado, conexiones a Internet) en lugares cerrados con llaves y con acceso restringido. Los equipos de red se encuentran además en un armario o rack que se pueda cerrar con llave. Los servidores se encuentran en un lugar cerrado con llave y con acceso restringido. Los servidores se encuentran además en un armario o rack que se pueda cerrar con llave. Las terminales de trabajo se protegen con cables de seguridad. Los materiales impresos confidenciales se guardan en armarios cerrados con llave. VALORES DE EVALUACION DE LA SECCIÓN Pregunta Vulnerabilidad Escala Respuesta Protección Escala Respuesta Defecto - 0 a 1 Interno Ninguno - 0 a 3 Varias Ninguno - 0 a 5 Varias No - No lo se Si Tabla No. 1 Valores de Evaluación de la Sección

292 Este segmento estudia las aplicaciones que son esenciales para la empresa y las valora desde el punto de vista de la seguridad y disponibilidad, además se examinan tecnologías utilizadas para aumentar el índice de defensa en profundidad. 1. En los procedimientos de la empresa, se requiere que terceros procesen la información? Sí No No lo sé 2. Los datos del cliente se almacenan o procesan en un ambiente compartido con recursos corporativos? Sí No No lo sé 3. Recurre a fabricantes independientes de software para complementar la oferta de servicios empresariales? Sí No No lo sé 4. Su empresa recibe ingresos por ofrecer servicios de procesamiento o minería11 de datos? Sí No No lo sé

293 11 Las técnicas de minería de datos se emplean para mejorar el rendimiento de procesos de negocio o industriales en los que se manejan grandes volúmenes de información estructurada y almacenada en bases de datos. Si No No lo sé 5. Los datos que procesa su empresa, son considerados sensibles o críticos para las operaciones comerciales de sus clientes? Sí No No lo sé 6. Se ofrecen aplicaciones comerciales críticas a través de Internet? Sí No No lo sé 7. Qué mecanismos tiene su empresa para asegurar una alta disponibilidad de las aplicaciones? Equilibrio de carga Clústeres Pruebas periódicas de recuperación de aplicaciones y datos Ninguno 8. Fabricantes independientes de software han desarrollado algunas aplicaciones clave de la red? Sí No No lo sé En caso de responder Sí: 8.1. Los fabricantes independientes proporcionan periódicamente actualizaciones y parches de software como la documentación sobre los mecanismos de seguridad? (se mantiene soportada) Sí No No lo sé

294 9. El equipo interno de desarrollo ha creado algunas de las aplicaciones clave de la red? Sí No No lo sé En caso de responder Sí: 9.1. El equipo interno de desarrollo proporcionan periódicamente actualizaciones y parches de software como la documentación sobre los mecanismos de seguridad? (se mantiene soportada) Sí No No lo sé 10. Su empresa conoce las vulnerabilidades de seguridad que existen para las aplicaciones de la red? Sí No No lo sé En caso de responder Sí: Su empresa cuenta con los procedimientos para abordar dichas vulnerabilidades? Sí No

295 VALORES DE EVALUACION DE LA SECCIÓN Pregunta Vulnerabilidad Escala Respuesta Protección Escala Respuesta Si - No lo se 0-3 No Si - No lo se 0-1 No Si - No lo se 0-1 No No - No lo se 0-5 No No - No lo se 0 a 4 No No - No lo se 0 a 4 No Ninguno 0 a 6 Varios Si - No lo sé 0-1 No Si - No lo sé 0 a 4 No Si - No lo sé 0-1 Si Tabla No. 1 Valores de Evaluación de la Sección

296 1. La actividad de su empresa se desarrolla en un mercado de gran competencia o de investigación, en el que el robo de material intelectual o el espionaje son temas de gran preocupación? Sí No 2. Está conectada su red corporativa a otras redes (ya sean de clientes, de socios o de terceros) mediante enlaces de red públicos o privados? Sí No No lo sé 3. Obtiene su empresa ingresos por servicios basados en el almacenamiento o la distribución electrónica de datos, como por ejemplo, archivos de medios o documentación? Sí No No lo sé 4. En los últimos seis meses, se ha sustituido radicalmente algún componente tecnológico de gran importancia? Sí No 5. Un incidente que afecte a las aplicaciones o a las infraestructuras orientadas a los clientes, como un apagón o el fallo de una aplicación o hardware, afectaría significativamente a sus ingresos? Sí No No lo sé

297 6. Los componentes de infraestructura y las aplicaciones del cliente, dependen del acceso a recursos de su entorno? Sí No No lo sé 7. Comparte su empresa los componentes de infraestructura y aplicaciones entre varios clientes? Sí No No lo sé 8. Cambia muy a menudo el personal técnico en su empresa? Sí No 9. Utiliza su empresa versiones obsoletas de software que ya no cuenten con el servicio técnico del fabricante? Sí No No lo sé 10. Adquiere su empresa el software de fabricantes o proveedores conocidos y fiables? Sí No No lo sé 11. Es la empresa la que gestiona el entorno o se contrata los servicios de un tercero? La empresa gestiona el entorno La empresa subcontrata la gestión En caso de subcontrato: Tiene la empresa acuerdo de servicios establecidos como parte de los contratos con los proveedores de servicios subcontratados? Sí No

298 11.2. Se han incluido cláusulas específicas sobre seguridades los acuerdos de servicios (SLA)? Sí No 12. Utiliza la empresa hosts de gestión dedicados a la administración segura de los sistemas y dispositivos del entorno? Sí No No lo sé En caso de responder Sí: Seleccione los sistemas para los que existen hosts de gestión dedicados: Dispositivos de red Servidores 13. Se utilizan cuentas de registro individuales para las actividades normales en contraposición con las actividades administrativas o de gestión? Sí No No lo sé 14. Garantiza la empresa a los usuarios el acceso administrativo a sus estaciones de trabajo y equipos portátiles? Sí No No lo sé 15. Se comprueba periódicamente el cortafuego para garantizar que funciona según lo previsto? Sí No No lo sé

299 VALORES DE EVALUACION DE LA SECCIÓN Pregunta Vulnerabilidad Escala Respuesta Protección Escala Respuesta Si No Si No Si No Si No Si - No lo sé No Si - No lo sé No Si - No lo sé No Si No Si - No lo sé No No - No lo sé Si 11-0 a 2 Subcontrato Interno No - No lo sé - 0 a 3 Si No - No lo sé Si No - No lo sé Si Si - No lo sé Si Tabla No. 1 Valores de Evaluación de la Sección

300 1. Existe un modelo para asignar niveles de importancia a los componentes del entorno informático? Sí No No lo sé Al asignar niveles de prioridad a los componentes, una empresa estará más preparada para centrar sus esfuerzos de seguridad en aquellos sistemas que necesitan acceso. Disponer de una lista de este tipo también asigna una prioridad para la recuperación cuando se producen apagones. 2. Existen directivas para la regulación del entorno informático? Sí No No lo sé Las directivas son reglas y prácticas que especifican cómo se puede utilizar de forma adecuada un entorno informático. Si no existen directivas, no existe mecanismo alguno para definir o hacer cumplir los controles dentro del entorno. En caso de responder Sí: 2.1. Existen directivas de seguridad de información para la regulación de la actividad relacionada con la seguridad de la empresa? Sí No No lo sé

301 Indique quién desarrolló la directiva: Sólo el departamento de TI Sólo el departamento de representantes comerciales El departamento de TI y de representantes comerciales en conjunto 2.2. Hay una directiva corporativa para el uso aceptable? Sí No No lo sé 2.3. Hay directivas para la gestión de las cuentas de usuarios individuales? Sí No No lo sé En caso de responder Sí: Seleccione cuáles de las siguientes directivas se aplican a la gestión de las cuentas de usuarios individuales: Cuentas de usuarios individuales (no compartidas) Cuentas sin y con privilegios para administradores Hacer cumplir la calidad de las contraseñas Cuando un empleado deja su trabajo, se desactivan sus cuentas? 3. Hay un proceso documentado para la creación de hosts? Si la respuesta es afirmativa, de qué tipo? ( Para qué tipos de hosts hay un proceso de creación documentado?) Dispositivos de infraestructura Servidores Estaciones de trabajo y portátiles Ninguno 4. Hay pautas documentadas que indiquen qué protocolos y servicios están permitidos en la red corporativa? Seleccione la opción adecuada: Sí No No lo sé

302 VALORES DE EVALUACION DE LA SECCIÓN Pregunta Vulnerabilidad Escala Respuesta Protección Escala Respuesta No - No lo sé Si No - No lo sé - 0 a 6 Si Ninguno - 0 a 3 Varios No - No lo sé Si Tabla No. 1 Valores de Evaluación de la Sección

303 1. Hay un proceso de gestión para las configuraciones y los cambios? Sí No No lo sé Los procesos de gestión de cambios y configuraciones permiten asegurar que los cambios en el entorno de producción, se han probado y documentado exhaustivamente antes de utilizarse. En caso de responder Sí: 1.1. Dispone la empresa de configuraciones documentadas a modo de referencia? Sí No No lo sé 2. Prueba la empresa los cambios de configuración antes de aplicarlos a los sistemas de producción? Sí No No lo sé En caso de responder Sí: 2.1. Se comprueba y se garantiza de forma centralizada la compatibilidad con las configuraciones (por ejemplo, mediante directivas de grupos)? Sí No No lo sé

304 3. Existe un proceso establecido para las directivas de actualización y revisión? Sí No No lo sé En caso de responder Sí: 3.1. Seleccione los componentes para los que existan estos procesos: Sistemas operativos Aplicaciones Tanto los sistemas operativos como las aplicaciones 4. Prueba la empresa las actualizaciones y revisiones antes de aplicarlas? Sí No No lo sé 4.1. Indique cuáles de los siguientes elementos se utilizan para aplicar y gestionar las actualizaciones: Actualización automática de Windows Sitio Web de Windows Update Servicios de actualización de Windows Server (WSUS) Otras soluciones de Gestión de Actualizaciones 4.2. En qué tipos de hosts se utiliza la gestión automática de actualizaciones? Estaciones de trabajo Servidores 5. Existe una directiva establecida por la que se regule la actualización de productos de detección basados en firmas? Antivirus Sistema de detección de intrusiones (IDS) Ninguno La aparición de nuevos virus es constante, por lo que resulta imprescindible mantener una lista actualizada de firmas de virus. Su solución antivirus será tan eficaz como lo permita su lista de firmas de virus.

305 6. Hay diagramas lógicos y documentación de configuración precisa para la infraestructura de red y los hosts? Sí No ó han caducado No lo sé 7. Existen diagramas exactos de la arquitectura y del flujo de datos de las aplicaciones principales? Sí No No lo sé En caso de responder Sí: 7.1. Seleccione los tipos de aplicaciones de las que existen diagramas Sólo aplicaciones externas Sólo aplicaciones internas Tanto las aplicaciones internas como externas VALORES DE EVALUACION DE LA SECCIÓN Pregunta Vulnerabilidad Escala Respuesta Protección Escala Respuesta No - No lo sé - 0 a 3 Si No - No lo sé - 0 a 3 Si No - No lo sé - 0 a 4 Si No - No lo sé - 0 a 5 Si Ninguno - 0 a 2 Varios No - No lo sé Si No - No lo sé - 0 a 4 Si Tabla No. 1 Valores de Evaluación de la Sección

306 1. Está activado en el entorno el registro de los eventos producidos en los hosts y los dispositivos? Sí No No lo sé 2. Toma medidas la empresa para proteger la información incluida en los registros? El sistema operativo y las aplicaciones están configuradas para no sobrescribir eventos. Los archivos de registro se rotan con frecuencia para asegurarse de que hay suficiente espacio disponible. El acceso a los archivos de registro está restringido a las cuentas de tipo administrador. Los registros se almacenan en un servidor central de registros Ninguno 3. Revisa la empresa periódicamente los archivos de registro? Sí No No lo sé En caso de responder Sí: 3.1. Con qué frecuencia se revisan los registros? Diariamente Semanalmente Mensualmente Según sea necesario No lo sé

307 4. Se hacen copias de seguridad de todos los recursos críticos y confidenciales periódicamente? Sí No No lo sé En caso de responder Sí: 4.1. Existen directivas y procedimientos para el almacenamiento y la gestión de los dispositivos de copias de seguridad? Sí No No lo sé En caso de responder Sí: Cuáles de las directivas y procedimientos siguientes se cumplen? Almacenamiento fuera de las instalaciones Almacenamiento en armarios cerrados, a prueba de fuego Acceso limitado a dispositivos de copias de seguridad Rotación y duración de los dispositivos de copias de seguridad 5. Existen directivas para la comprobación periódica de los procedimientos de copias de seguridad y restauración? Estas directivas, están documentadas? Sí, y están documentados Sí, pero no están documentados No No lo sé VALORES DE EVALUACION DE LA SECCIÓN Pregunta Vulnerabilidad Escala Respuesta Protección Escala Respuesta No - No lo sé Si Ninguno - 0 a 4 Varios No - No lo sé - 0 a 3 Si No - No lo sé - 0 a 4 Si No - No lo sé - 0 a 2 Si Tabla No. 1 Valores de Evaluación de la Sección

308 1. Hay en su empresa individuos o grupos que sean responsables de la seguridad? Sí No No lo sé En caso de responder Sí: 1.1. Tienen estos individuos o grupos experiencia en el tema de la seguridad? Sí No No lo sé 1.2. Estos individuos o grupos se ocupan de establecer los requisitos de seguridad de las tecnologías nuevas existentes? Sí No No lo sé 1.3. Existen responsabilidades y roles definidos para cada individuo que participe en la seguridad de la información? Sí No No lo sé 2. Realiza su empresa evaluaciones de la seguridad del entorno a través de terceros? Sí No No lo sé

309 Las evaluaciones de seguridad realizadas por terceros facilitan una visión más independiente y objetiva de sus soluciones de seguridad. En caso de responder Sí: 2.1. Con qué frecuencia se llevan a cabo estas evaluaciones? Trimestralmente Semanalmente Anualmente Cada dos años o menos 2.2. Seleccione las áreas de análisis que comprenden estas evaluaciones: Infraestructura Aplicaciones Directiva Auditoria 3. Realiza su empresa evaluaciones de la seguridad del entorno de forma interna? Sí No No lo sé En caso de responder Sí: 3.1. Con qué frecuencia se llevan a cabo estas evaluaciones? Trimestralmente Semanalmente Anualmente Cada dos años o menos

310 3.2. Selecciones las áreas que comprenden estas evaluaciones: Infraestructura Aplicaciones Directiva Auditoria VALORES DE EVALUACION DE LA SECCIÓN Pregunta Vulnerabilidad Escala Respuesta Protección Escala Respuesta No - No lo sé - 0 a 4 Si No - No lo sé - 0 a 6 Si No - No lo sé - 0 a 6 Si Tabla No. 1 Valores de Evaluación de la Sección

311 1. Realiza la empresa comprobaciones del historial personal como parte del proceso de contratación? Sí No No lo sé Se debe comprobar el historial personal de aspirantes para identificar asuntos que puedan afectar a la seguridad de su empresa. En caso de responder Sí: 1.1. Seleccione la opción más adecuada: Se hacen comprobaciones del historial personal de cada aspirante. Se hacen comprobaciones del historial personal sólo de aspirantes a puestos críticos o confidenciales. 2. Hay un proceso formal para la salida de la empresa de los empleados? Sí No No lo sé Cuando los empleados dejan la empresa, existe la posibilidad de que lo hagan de forma hostil. Para reducir los riesgos, se debe mantener un proceso formal para los empleados que dejan la empresa.

312 3. Hay una directiva formal para las relaciones con terceros? Sí No No lo sé Las relaciones con terceros (socios, clientes o fabricantes) aumentan notablemente el riesgo al que ambas partes se ven expuestos. VALORES DE EVALUACION DE LA SECCIÓN Pregunta Vulnerabilidad Escala Respuesta Protección Escala Respuesta No - No lo sé - 0 a 3 Si No - No lo sé Si No - No lo sé Si Tabla No. 1 Valores de Evaluación de la Sección

313 1. Hay un programa de divulgación de las medidas de seguridad en su empresa? Sí No No lo sé Un programa de divulgación de las medidas de seguridad mantiene a los empleados al corriente de los riesgos y vulnerabilidades presentes. Los empleados que son conscientes de su importancia benefician la seguridad general de la empresa. En caso de responder Sí: 1.1. Cuál es el porcentaje de empleados que han participado en el programa de divulgación de las medidas de seguridad? Menos del 25% Del 25 al 49% Del 50 al 75% Más del 75% 2. Cuáles de los siguientes temas se incluyen en los cursos de formación sobre la seguridad? Directivas y controles de seguridad de la empresa Informes sobre actividades sospechosas Confidencialidad Seguridad del correo electrónico, incluyendo Spam y gestión de adjuntos Seguridad de Internet, incluyendo navegación por la Web y descargas Seguridad informática, incluyendo el uso de cortafuegos particulares y cifrado Ninguno

314 2.1. Con que frecuencia se realizan estos cursos? Trimestralmente Semestralmente Anualmente Cada dos años o menos 3. Se ofrece a los empleados formación relacionada con el cargo que desempeñan en la empresa? Sí No No lo sé La formación basada en roles y el aprendizaje continuo garantizan que todos los empleados entiendan qué se espera de ellos. En caso de responder Sí: 3.1. Seleccione las opciones que correspondan en la siguiente lista: Seguridad de las operaciones Seguridad de la infraestructura Seguridad de las aplicaciones Preparación para incidentes y reacción VALORES DE EVALUACION DE LA SECCIÓN Pregunta Vulnerabilidad Escala Respuesta Protección Escala Respuesta No - No lo sé - 0 a 4 Si Ninguno - 0 a 5 Varios No - No lo sé - 0 a 3 Si Tabla No. 1 Valores de Evaluación de la Sección

315 1. Información Recabada en la Empresa Para el desarrollo del presente análisis de riesgos fue necesario entrevistar a distintos usuarios de la Red de Datos de la Organización y demás personas que interactúan con la misma. En el presente anexo se adjuntan los cuestionarios utilizados para la realización de éstas entrevistas. 1.1 Hardware Topología y protocolos de red Protocolos Conexión al exterior con sucursales y fábrica Características del servidor: Tipo o marca de servidor, Capacidad de procesamiento, Cantidad de memoria, Capacidad de disco, Placas de red, Dispositivos varios (CD s, cintas, scanner, switch, hub, etc.), UPS o sistemas de alimentación alternativa del servidor, Servidor alternativo, espejo o de contingencia, Servidor de datos o de impresión, Impresoras y Gestión de impresión PC s Cantidad