Introducción | La seguridad... | Detección... | Comercio... | Mecanismos...
Hechos... | Caso práctico | Bibliografía

La información es el activo más importante para las empresas, lo cual se puede confirmar si consideramos el hecho de que la perdida de información critica, y la posterior recuperación, permitirán o no retomar sus operaciones normales en un menor tiempo, minimizando las pérdidas que inevitablemente conlleva este tipo de situación. Por este motivo la información adquiere una gran importancia para la empresa moderna debido a su poder estratégico y a que se invierten grandes cantidades de dinero en tiempo para proporcionar un buen sistema de información lo que redunda en una mayor productividad.
Es preciso tener en cuenta todos los factores que puedan amenazar la privacidad y no solamente los intencionados. Desde el punto de vista de los usuarios, los peligros derivados de los incidentes del entorno o de errores humanos que alteren la red pueden ser tan costosos como los ataques intencionados.
La seguridad de las redes y la información puede entenderse como la capacidad de las redes o de los sistemas de información para resistir, con un determinado nivel de confianza, todos los accidentes o acciones malintencionadas, que pongan en peligro la disponibilidad, autenticidad, integridad y confidencialidad de los datos almacenados o transmitidos y de los correspondientes servicios que dichas redes y sistemas ofrecen o hacen accesibles.
Desarrollar un sistema de seguridad significa planear, organizar, coordinar dirigir y controlar las actividades relacionadas a mantener y garantizar la integridad física de los recursos implicados en la función informática, así como el resguardo de los activos de la empresa.
La  seguridad informática abarca múltiples y muy diversas áreas relacionadas con los SI. Áreas que van desde la protección física del ordenador como componentes hardware, de su entorno, hasta la protección de la información que contiene o de las redes que lo comunican con el exterior. Tampoco es único el objetivo de la seguridad. Son muy diversos tipos de amenazas contra los que se debe estar protegido. Desde amenazas físicas, como los cortes eléctricos, hasta errores no intencionados de los usuarios, pasando por los virus informáticos o el robo, destrucción o modificación de la información. No obstante, sí hay tres aspectos fundamentales que definen la seguridad informática: la confidencialidad, la integridad y la disponibilidad.
Dependiendo del tipo de sistema informático con el que se esté trabajando (militar, comercial, bancario,...) el orden de importancia de estos tres factores es diferente, e incluso entran en juego otros elementos como la autenticidad o el no repudio. El enfoque de la política de seguridad y de los mecanismos utilizados para su implementación está influido por el más importante de los tres aspectos. Estos aspectos también pueden entenderse como metas u objetivos.

Requisitos de seguridad

1. Confidencialidad. Se entiende por confidencialidad el servicio de seguridad, o condición, que asegura que la información no pueda estar disponible o ser descubierta poro para personas, entidades o procesos no autorizados. La confidencialidad, a veces denominada secreto o privacidad, se refiere ala capacidad del sistema para evitar que personas no autorizadas puedan acceder a la información almacenada en él. En áreas de seguridad gubernamentales el secreto asegura que los usuarios pueden acceder a la información que les está permitida en base a su grado o nivel de autoridad, normalmente impuestas por disposiciones legales o administrativas. En entornos de negocios, la confidencialidad asegura la protección en base a disposiciones legales o criterios estratégicos de información privada, tal como datos de las nóminas de los empleados, documentos internos sobre estrategias, nuevos productos o campañas, etc. Este aspecto de la seguridad es particularmente importante cuando hablamos de organismos públicos, y más concretamente aquellos relacionados con la defensa. En estos entornos los otros dos aspectos de la seguridad son menos críticos. Algunos de los mecanismos utilizados para salvaguardar la confidencialidad de los datos son: por ejemplo: El uso de técnicas de control de acceso a los sistemas. El cifrado de la información confidencial o de las comunicaciones.
2. Integridad: Se entiende por integridad el servicio de seguridad que garantiza que la información es modificada, incluyendo su creación y borrado, sólo por el personal autorizado. Suelen integrarse varios conceptos análogos en este segundo aspecto de la seguridad: precisión, integridad, autenticidad.
   El concepto de integridad significa que el sistema no debe modificar o corromper la información que almacene, o permitir que alguien no autorizado lo haga. Esta propiedad permite asegurar que no se ha falseado la información. Por ejemplo, que los datos recibidos o recuperados son exactamente los que fueron enviados o almacenados, sin que se haya producido ninguna modificación, adición o borrado. De hecho el problema de la integridad no sólo se refiere a modificaciones intencionadas, sino también a cambios accidentales o no intencionados. En el ámbito de las redes y las comunicaciones, un aspecto o variante de la integridad es la autenticidad.
   Se trata de proporcionar los medios para verificar que el origen de los datos es el correcto, quién los envió y cuándo fueron enviados y recibidos. En el entorno financiero o bancario, este aspecto de la seguridad es el más importante. En los bancos, cuando se realizan transferencias de fondos u otros tipos de transacciones, normalmente es más importante mantener la integridad y precisión de los datos que evitar que sean interceptados o conocidos (mantener la confidencialidad). En el campo de la criptografía hay diversos métodos para mantener/asegurar la autenticidad de los mensajes y la precisión de los datos recibidos. Se usan para ello códigos/firmas añadidos a los mensajes en origen y recalculadas /comprobadas en el destino. Este método puede asegurar no sólo a integridad de los datos (lo enviado es igual a lo recibido), sino la autenticidad de la misma (quien lo envía es quien dice qué es).
3. Disponibilidad. Se entiende por disponibilidad el grado en que un dato está en el lugar, momento y forma en que es requerido por el usuario autorizado. La situación que se produce cuando se puede acceder a un SI en un periodo de tiempo considerado aceptable. Un sistema seguro debe mantener la información disponible para los usuarios. Disponibilidad significa que el sistema, tanto hardware como software, se mantienen funcionando eficientemente y que es capaz de recuperarse rápidamente en caso de fallo. Lo opuesto a disponibilidad, y uno de los posibles métodos de ataque a un sistema informático, se denomina "denegación de servicio". Una denegación de servicio significa que los usuarios no puede obtener del sistema los recursos deseados: El ordenador puede estar estropeado o haber una caída del SO. No hay suficiente memoria para ejecutar los programas. Los discos, cintas o impresoras no están disponibles o están llenos. No se puede acceder a la información. De hecho, muchos ataques, como el caso del gusano de 1988, no buscaban borrar, robar, o modificar la información, sino bloquear el sistema creando nuevos procesos que saturaban recursos.

Otros aspectos relacionados

Existen otros aspectos o características de la seguridad que pueden en su mayor parte incluirse o asimilarse a uno de los tres aspectos fundamentales, pero que es importante concretar en sí mismos.
Autenticidad. Esta propiedad permite asegurar el origen de la información. La identidad del emisor puede ser validada, de modo que se puede demostrar que es quién dice ser. De este modo se evita que un usuario envíe una información haciéndose pasar por otro.
Imposibilidad de rechazo (no-repudio). Esta propiedad permite asegurar que cualquier entidad que envía o recibe información, no puede alegar ante terceros que no la envió o la recibió. Esta propiedad y la anterior son especialmente importantes en el entorno bancario y en el uso del comercio digital.
Consistencia. Asegurar que el sistema se comporta como se supone que debe hacerlo con los usuarios autorizados. Si el software o el hardware de repente comienzan a comportarse de un modo radicalmente diferente al esperado, puede ser un desastre. Por ejemplo si la orden "ls" comenzara a borrar los ficheros listados. Esta propiedad es amenazada por ejemplo por el uso de los Caballos de Troya. Programas que no hacen lo que se supone que deben hacer, o que además se dedican a otras tareas.
Aislamiento. Regula el acceso al sistema, impidiendo que personas no autorizadas entrenen él. Este aspecto está relacionado directamente con la confidencialidad, aunque se centra más en el acceso al sistema que a la información que contiene.
Auditoría. Capacidad de determinar qué acciones o procesos se han llevado a cabo en el sistema, y quién y cuándo las han llevado a cabo. La única forma de lograr este objetivo es mantener un registro de las actividades del sistema, y que este registro esté altamente protegido contra modificación. Supone el uso de los denominados ficheros de log en UNIX y en otros sistemas y del uso de sistemas de accounting. Este aspecto se relaciona por un lado con:

1. La Prevención: al conocer los usuarios que se guarda registro de sus actividades, se abstienen de intentar dañar la información. Ello es debido al riesgo que corren de que sus acciones sean detectadas.
2. Información: Al conocer lo que ocurre en el sistema pueden detectar se comportamientos sospechosos.
3. Definición a posteriori del problema y su origen: Se puede realizar un análisis post-mortem de la información almacenada para conocer lo que ha ocurrido. Los datos dañados y, en ocasiones, quién y cuándo lo ha hecho. Además, habiendo guardado un registro de las modificaciones ocurridas en el sistema se facilita enormemente la recuperación de este en caso de fallo.

Las principales amenazas o riesgos que enfrentan las empresas que utilizan las redes son:

1. Interceptación de las comunicaciones.
2. Acceso no autorizado a ordenadores o Redes de ordenadores.
3. Perturbación de las redes.
4. Ejecución de programas que modifiquen o dañen los datos.
5. Declaración falsa.
6. Accidentes no provocados.
7. Robo de datos.
8. Infiltración de datos críticos.

Los beneficios de un sistema de seguridad son:

1. Aumento de la productividad.
2. Aumento de la motivación del personal.
3. Compromiso con la misión de la compañía.
4. Mejoras de las relaciones laborales.
5. Mejoras del rendimiento.
6. Mayor profesionalismo.
7. Ayuda a formar equipos competentes.
8. Mejora los climas laborares de los RR.HH.

Etapas para implementar un sistema de seguridad

1. Introducir el tema de seguridad en la visión de la empresa.
2. Definir los procesos de flujo de la información y sus riesgos en cuanto a todos los recursos participantes.
3. Capacitar a los gerentes y directivos, contemplando el enfoque global.
4. Designar y capacitar supervisores de área.
5. Definir y trabajar sobre todo las áreas donde se pueden lograr mejoras en menor tiempo.
6. Mejorar las comunicaciones internas.
7. Identificar claramente las áreas de mayor riesgo corporativo y trabajar con ellas planteando soluciones de alto nivel.
8. Capacitar a todos los trabajadores en los elementos de seguridad básica, riesgo de manejo de software y seguridad física.

Tipos de Ataques

A continuación se expondrán diferentes tipos de ataques perpetrados, principalmente, por Hackers. Estos ataques pueden ser realizados sobre cualquier tipo de red, sistema operativo, usando diferentes protocolos, etc.
En los primeros tiempos, los ataques involucraban poca sofisticación técnica. Los Insiders (operadores, programadores, data entrys) utilizaban sus permisos para alterar archivos o registros. Los Outsiders ingresaban a la red simplemente averiguando una password válida. A través de los años se han desarrollado formas cada vez más sofisticadas de ataque para explotar "agujeros" en el diseño, configuración y operación de los sistemas.

1. Ingeniería Social
2. Ingeniería Social Inversa
3. Trashing (Cartoneo)
4. Ataques de Monitorización
5. Ataques de Autenticación
6. Denial of Service (DoS)

Cabe destacar que para la utilización de estas técnicas de ataque no es necesario contar con grandes centros de cómputos, lo que queda fehacientemente demostrado al saber que algunos Hackers más famosos de la historia hackeaban con computadoras (incluso armadas con partes encontradas en basureros) desde la habitación de su hogar.

Ingeniería Social

Es la manipulación de las personas para convencerlas de que ejecuten acciones o actos que normalmente no realizan para que revele todo lo necesario para superar las barreras de seguridad. Si el atacante tiene la experiencia suficiente (generalmente es así), puede engañar fácilmente a un usuario (que desconoce las mínimas medidas de seguridad) en beneficio propio. Esta técnica es una de las más usadas y efectivas a la hora de averiguar nombres de usuarios y passwords.
Por ejemplo, suele llamarse a un usuario haciéndose pasar por administrador del sistema y requerirle la password con alguna excusa convincente. O bien, podría enviarse un mail (falsificando la dirección origen a nombre del administrador) pidiendo al usuario que modifique su password a una palabra que el atacante suministra.
Para evitar situaciones de IS es conveniente tener en cuenta estas recomendaciones:

1. Tener servicio técnico propio o de confianza.
2. Instruir a los usuarios para que no respondan ninguna pregunta sobre cualquier característica del sistema y deriven la inquietud a los responsables que tenga competencia para dar esa información.

Asegurarse que las personas que llaman por teléfono son quien dicen ser. Por ejemplo si la persona que llama se identifica como proveedor de Internet lo mejor es cortar y devolver la llamada a forma de confirmación.

Ingeniería Social Inversa

Consiste en la generación, por parte de los intrusos, de una situación inversa a la originada en Ingeniería Social.
En este caso el intruso publicita de alguna manera que es capaz de brindar ayuda a los usuarios, y estos lo llaman ante algún imprevisto. El intruso aprovechará esta oportunidad para pedir información necesaria para solucionar el problema del usuario y el suyo propio (la forma de acceso al sistema).
La ISI es más difícil de llevar a cabo y por lo general se aplica cuando los usuarios están alertados de acerca de las técnicas de IS. Puede usarse en algunas situaciones específicas y después de mucha preparación e investigación por parte del intruso:

1. Generación de una falla en el funcionamiento normal del sistema. Generalmente esta falla es fácil de solucionar pero puede ser difícil de encontrar por los usuarios inexpertos (sabotaje). Requiere que el intruso tenga un mínimo contacto con el sistema.
2. Comunicación a los usuarios de que la solución es brindada por el intruso (publicidad).
3. Provisión de ayuda por parte del intruso encubierto como servicio técnico.

Trashing (Cartoneo)

Generalmente, un usuario anota su login y password en un papelito y luego, cuando lo recuerda, lo arroja a la basura. Este procedimiento por más inocente que parezca es el que puede aprovechar un atacante para hacerse de una llave para entrar el sistema..."nada se destruye, todo se transforma".
El Trashing puede ser físico (como el caso descripto) o lógico, como analizar buffers de impresora y memoria, bloques de discos, etc. El Trashing físico suele ser común en organizaciones que no disponen de alta confidencialidad, como colegios y universidades.

Ataques de Monitorización

Este tipo de ataque se realiza para observar a la víctima y su sistema, con el objetivo de establecer sus vulnerabilidades y posibles formas de acceso futuro.
Ataques de Autenticación
Este tipo de ataque tiene como objetivo engañar al sistema de la víctima para ingresar al mismo. Generalmente este engaño se realiza tomando las sesiones ya establecidas por la víctima u obteniendo su nombre de usuario y password.

Denial of Service (DoS)

Realizado por: Jorge Eliecer Jaimes Jimenez - Junio 2008