You are on page 1of 28

La importancia de la seguridad informática en las empresas

:
1. Introducción:
Estamos viviendo en una era en donde la información se ha vuelto esencial en cualquier ámbito de nuestra vida; Tanto así que se dice que vivimos en la era del conocimiento, inclusive la información se ha vuelto tan importante que es necesario protegerla; las empresas no son excluidas de dicho principio, tan solo imaginemos lo que pasaría si un banco pierde la base de datos de sus clientes o un supermercado pierde su información de inventario, o si una compañía de administración de ahorros perdiera la información de sus clientes; en todos los casos el resultado seria desastroso, por ende surge la necesidad de la existencia de protocolos o herramientas que eviten llegar a dichos casos, en ese instante es cuando surge la importancia de la seguridad informática; ya que esta nos garantiza que los recursos informáticos de una compañía estén disponibles para cumplir sus propósitos, es decir, que no estén dañados o alterados por circunstancias o factores externos, en este sentido, es la información el elemento principal a proteger, resguardar y recuperar dentro de redes empresariales, por la existencia de personas ajenas a la información, también conocidas como piratas informáticos o hackers, que buscan tener acceso a la red empresarial para modificar, sustraer o borrar datos. Esta situación se presenta gracias a los esquemas ineficientes de seguridad con los que cuentan la mayoría de las compañías a nivel mundial, y porque no existe conocimiento relacionado con la planeación de un esquema de seguridad eficiente que proteja los recursos informáticos de las actuales amenazas combinadas. El resultado es la violación de los sistemas lo que puede representar un daño con valor de miles o millones de dólares. Ahora bien la finalidad de este texto es la de establecer la importancia de la seguridad informática dentro de las empresas y ayudar a las empresas con ideas practicas de cómo evitar la pérdida o modificación de los datos sensibles de la organización con los protocolos que se deberán seguir para establecer un sistema de seguridad informático adecuado a la importancia que se desea proteger.

1

2. Marco teórico
“Cada día más las empresas en particular las organizaciones en general depende en mayor medida de la información, de sus tecnologías y de sus comunicaciones. La información es como uno de los activos más importantes de las organizaciones, y especialmente para algunas compañías que operan en determinados sectores de actividad en donde este es su principal y a veces único recurso. Piense el lector en las entidades financieras, las compañías de seguros, los medios de comunicación, las administraciones públicas, y muchas empresas del sector servicios.” Heredero, C. (2004). Informática y comunicaciones en la empresa. ESIC editorial, p. 15. “Las amenazas que pasan sobre la empresa son de naturaleza múltiple y en constante evolución. El dominio por la seguridad informática es muy amplio. Podríamos definirla como: “La Protección contra todos los daños sufridos o causados por la herramienta informática y originados por el acto voluntario y de mala fe de un individuo”. Proteger el sistema informático de una empresa consiste en poner frenos contra cada una de las amenazas potenciales. Dado que ninguna protección es infalible, es necesario multiplicar las barreras sucesivas. Así, un pirata que consiguiera pasar la primera protección se vería bloqueado por otra” Royer, J. (2004). Seguridad en la informática de empresa: riesgos, amenazas, prevención y soluciones. Ediciones ENI, p.9.

2.1. Piratas informáticos o hackers:
“El significado de la palabra hacker varía según quien lo define. Los medios masivos, las agencias de seguridad y los mismos hackers tienen sus propias definiciones. El diccionario Merrian-Webster lo define: “Persona que accede ilegalmente o sin autorización a información almacenada en un sistema computacional"; Eric Raymond, compilador de The New Hacker´s Dictionary, enriquece la definición de hacker con algunos datos adicionales: Es alguien que irrumpe en el sistema computacional de otra persona, a menudo en una red; descifra contraseñas personales y usa sin licencia programas de computadoras, o quebranta intencionalmente de alguna u otra manera la seguridad de una computadora; puede hacerlo por lucro, maliciosamente, por alguna causa o propósito altruista, o simplemente porque allí encuentra un desafío "El término hacking es usado rutinariamente hoy en día por casi todas los policías con algún interés profesional en el abuso y el fraude informático", explica Bruce Sterling. Y añade: La policía estadounidense describe casi cualquier crimen cometido con, por, a través, o contra una computadora, como hacking; hacker es la expresión que los asaltantes informáticos eligen para describirse a ellos mismos. Nadie que asalte un sistema de buena gana se describe a él mismo -raramente a ella misma- como un asaltante informático, intruso informático, cracker o, wormer.

2

Los intentos para hacer que obedezcan las leyes democráticamente establecidas de la sociedad americana contemporánea. (2002). Facultad Latinoamericana de Ciencias Sociales (P. si Alexander Graham Bell hubiera seguido con las reglas de la compañía de telégrafos Western Union. el mayor subgrupo dentro de los Black Hat y el mayor grupo de hackers en general: "Cerca del 90% de las acciones de hacking son hechas para llamar la atención o difamar a alguien. S. son hackers "buenos".Tesis de maestría en relaciones internacionales.1. 2. hace una clasificación de hackers que es muy utilizada hoy en día por el periodismo especializado y por las empresas23. son vistas como persecución y represión.1.1. Pero en el fondo “son unos burladores de la ley. 2. en su grandilocuencia. Consideran esas leyes como las tentativas inmorales de desalmadas sociedades anónimas. 2. En su opinión. Ginorio cree que la gente más joven dentro de este grupo está básicamente interesada en el defacement. en su opinión. expresión que no tiene equivalente en español y que se refiere al acto de ingresar a un sitio web y modificar su contenido. hay tres clases de hackers. creen que su misión (a veces remunerada y a veces no) es encontrar brechas en la seguridad de las computadoras y luego avisar a las partes involucradas para que puedan protegerse. hasta robar números de tarjetas de crédito con la intención de cometer fraudes.2. Los hackers.” Masana. para proteger sus márgenes de beneficio y aplastar disidentes. Si Benjamin Franklin y Thomas Jefferson hubieran intentado trabajar dentro del sistema no hubiera habido Estados Unidos. En su mayor parte. Ese tipo de personas son. nada le da más prestigio a un hacker de 13 años que llenar a un sitio muy conocido con graffittis electrónicos". sino que por el contrario.1. argumentan. No respetan las actuales leyes del comportamiento electrónico como esfuerzos respetables para preservar la ley y el orden y proteger la salud pública. analista de seguridad de Cisco System's Corporate Information Security Group. 3 . Después de todo. El ciberterrorismo: ¿una amenaza real para la paz mundial? . no habría habido teléfonos.1.1.14). Black Hat hackers (hackers de sombrero negro): Son los que reciben la mayor atención por parte de los medios. En otras palabras. opina Ginorio. esos actos no causan prácticamente ningún daño y son reversibles".Los hackers se diferencian en su grado de odio a la autoridad y la violencia de su retórica. Clasificación de los piratas informáticos o hackers: “Erik Ginorio. se perciben a sí mismos como una elite de exploradores de un nuevo mundo electrónico. White Hat hackers (hackers de sombrero blanco): Son personas que no persiguen intereses delictivos.1. "Después de todo. Se trata de individuos proclives a realizar una serie de tareas que van desde ingresar ilegalmente a distintos sitios y colocar información falsa o textos e imágenes obscenos. que colaboran con las empresas.

comprendidos entre una falla humana. Por supuesto que la línea divisoria entre esos tres tipos de hackers es bastante delgada y existen quienes la suelen cruzar para un lado o para el otro. También puede ser una dirección IP. Por supuesto.1. fundamentalmente. (2002). S. Los datos que buscan los intrusos antes de atacar pueden estar relacionados con algún empleado.2. un determinado descuido de programación o de administración. Este tipo de hackers suelen ser contratados por las empresas. El ciberterrorismo: ¿una amenaza real para la paz mundial? . pero que actualmente trabajan para empresas en el área de seguridad. un directorio. Información gathering: “Se denomina information gathering a la instancia previa al intento de ejecutar una intrusión informática a un sistema por parte de alguien no autorizado. una plataforma o bien cualquier dato de ubicación física o denominación de algún sector de la misma organización. Facultad Latinoamericana de Ciencias Sociales (P. un documento. un protocolo. lógica y hasta externa por los agentes involucrados (por ejemplo. Todo es útil a la hora de la escalada en el sistema y la previa planificación de este embate 4 . Information gathering implica llevar a cabo la tarea previa y minuciosa de inteligencia (similar a un reconocimiento del terreno).1. el factor permeable (brecha o agujero de seguridad) inicial de éste podría encontrarse en cualquiera de los ni ve les. 2. o distintos ambientes interconectados. Grey Hat hackers (hackers de sombrero gris): Son aquellos que en el pasado realizaron actividades de hacking. si puede directamente conseguir logins. de investigación y análisis de da tos recabados.” Masana. un proveedor de Internet o hosting inseguro o una sucursal con su red desprotegida) o distintos ambientes interconectados. un servicio (puerto abierto de autentificación o no). También es empleada (generalmente en organizaciones) por los profesionales éticos en caso de asestar una comprobación de seguridad. un sitio. ya sea ejecutivo u operario.1. una de infraestructura (técnica). una aplicación.1. especialmente para las agencias gubernamentales que investigan el accionar de los hackers y para las empresas que contratan gente para sus departamentos de seguridad informática. pese a lo cual esa clasificación resulta bastante útil. El sistema de in formación cuenta con incontables piezas y.2. por lo tanto.1.3. una red. lo intentará.2 . más precisamente a la recolección de datos acerca del objetivo o de algún componente relacionado a este o a parte de él.Tesis de maestría en relaciones internacionales. No interesa si el dato es muy importante o casi insignificante. Esta fase se compone. dice Ginorio. "siempre y cuando no hayan hecho anteriormente nada destructivo o claramente delictivo". con algún sistema o tramo de él o con algún procedimiento u operación que nos permita intervenir en él. Técnicas de recolección de información utilizadas por los piratas informáticos o hackers: 2. 18-19).

Para poder obtener estos privilegios el intruso tratará de obtener la información de alguien que es té dentro de esa organización u empresa. barriendo los rangos de direcciones IP. tal vez.2. una puerta de entrada.1.1. que no se instala en forma tan artesanal y sir ve para mantener procesos ocultos y. También se pueden comprometer directamente mediante descuidos de administración y no por fallas en software. Sea de paso. 2. Esto le da la posibilidad de rea li zar cuanto desee dentro del sistema. Cuando son hechas por un intruso.3. sin despertar sospechas ya que no dejan un puerto abierto o algo remotamente detectable como para saber que existe.2.(chequeo o simulación de ataque). • Root kits: Éste es un kit o una serie de aplicaciones que se utiliza para mantener los privilegios de root dentro del servidor. siempre y cuan do sepa cómo. 5 . • Sniffers: Se trata de capturadores de logins o de cualquier clase de paquete. sitios o por dónde fluye su in formación? • ¿Qué partes lo conforman? 2.2. intercambio o engaño. ya sea por amistad. lsof o ls en Linux) para ocultar procesos o archivos dentro del sistema operativo. • Binarios troyanizados: El intruso con conocimientos suficientes suele reemplazar a mano algunos archivos binarios de sistema (por ejemplo ps. también pueden instalar algunas de las siguientes cosas: • Back Doors on-the-Fly: Los back doors son puertas traseras para volver a ingresar cuando así lo deseen. Rooteado: Significa que el intruso ha escalado privilegios (mayores permisos en el servidor) en un sistema Linux/Unix hasta llegar a ser un usuario con permisos de root (cuenta de máximo privilegio). Algunas de las preguntas útiles antes de proceder serían: • ¿Qué sabemos de nuestro objetivo? • ¿Dónde están sus redes. estas recolecciones a veces no son legales. Una recolección de información ligada a bases de datos por parte de los intrusos es aquella que resulta intrusiva. los SAM de los servidores Windows de la familia Server o terminales XP (ambos poseen las cuentas de sistema y sus passwords de modo cifrado). Veamos cómo pueden lograr esto: el intruso programa o utiliza un Mass rooter (mezcla de escáner con exploit remoto que permite meterse dentro de los servidores o ex traer da tos secuencialmente a muy alta velocidad). Estos datos son acumulados (coleccionados) para utilizar en un futuro o bien aprovechándola intrusión. conveniencia. Consultas a bases de datos: La recolección de da tos previos al ataque generalmente comienza en algún tipo de base de datos y otros recursos que se dispongan. Los archivos más recolectados por esta técnica intrusiva son los shadows de los servidores Linux y Solaris.

búsqueda y caché de información.1. es un famoso buscador para encontrar datos relevantes del objetivo.4.1.7. que se consigue fácilmente en el padrón nacional. que permitían saber el sistema operativo de los servidores. 2. sus rangos de direcciones. entre otras cosas. Otros recursos online: Hay otras bases de datos públicas y herramientas que brindarán datos en tiempo real en Internet.2.8. los nombres de administradores.2.5.6. ex traerán información de carpetas compartidas o intranet s/extranets sin restricción de acceso o con fallas de inyección de código SQL. ya que de hacerlo. se puede encontrar in formación acerca de alguien con sólo tener el número de documento.2.2. teléfonos y direcciones físicas.1. 2.com. Google hacking. sólo tendría que analizarlo y comenzar a escanearlos puertos y los hosts de sus redes luego de resolver sus direcciones IP. Podrá también comparar los con la dirección IP del sitio web de la empresa para corroborar que están tercerizando el alojamiento web (hosting) de su página web y ver si ésta no está alojado en su propia red.1. Entre estos últimos. IP.2. Buscadores: Los buscadores son una increíble fuente de clasificación. el intruso tratará de ubicar en la red a la organización mediante algo de análisis o interacción. análisis. 6 . los sitios más conocidos en el pasado fueron www. muy fáciles de detectar y de utilizar para comprometer servidores de empresas u otras organizaciones. confidencial o no. Bases Online: En algunas bases de datos públicas.org y www.netcraft. 2. Interacción en caso de que no encuentre el código de algún correo electrónico de ella. 2. Script kiddie: Un script-kiddie no sólo barre (escanea buscando o ejecuta exploits al azar) los rangos de direcciones IP.samspade. La información que puede dar a un intruso un simple correo electrónico es muy variada e importante.1. También obrará de modo lógico para obtener otros datos valiosos o aprovechables.2. su up time. sobre un objetivo. qué sistema tenía históricamente. Éstos. Cabeceras de correos electrónicos: Luego de encontrar un puñado de casillas de correo de la organización mediante Google o bien examinando detenidamente la página web institucional.

mdb. como presentaciones. Empleos y orientación de la fuerza bruta: En seguridad informática.2. 2. El análisis de estos archivos puede brindarnos algunas pistas sobre la organización o par te de ella”. en especial del criptanálisis (el arte de romper códigos cifrados o descifrar textos).10. algo que nos llevaría mucho tiempo de trabajo. de banners y otra información.3. Rosario editorial. xls o exe) que contienen diversa información.2.zip. o aplicaciones. p. Como profesionales éticos. C.doc) de modo local.1. intranets con logins). Solaris y Unix. .3. (2008). Fuerza bruta: “Fuerza bruta es una técnica que proviene originalmente de la criptografía. Técnicas frecuentes para irrumpir en un sistema informático utilizadas por hackers o piratas informáticos: 2. Hacking ético.1. Telnetear es un modismo que significa utilizar un cliente telnet (aplicación para ejecutar comandos telnet) a través de una línea de comandos (ya sea un prompt. • Para romper los cifrados típicos de los archivos shadow en Linux.1. Telneteo: Esto es la búsqueda a mano.2.1. 2. . doc.1. 46-76.htaccess. . Por ejemplo en estos siete casos: • Si necesitamos descubrir determinado usuario o password de un servicio de autentificación como FTP. . • Obtener el password de archivos del paquete Office u otras aplicaciones del tipo compresores (. o los archivos hasheados SAM de la familia Windows. SSH o POP3 de manera remota a través de una red. Datos en archivos binarios y otros: Los sitios de las organizaciones suelen tener en sus web archivos (en formato pdf. MSDOS o una shell Linux o Unix).3.rar. 2.9. trabajos de las más diversas índoles. 7 .1. Tori.1. En este caso se orientara el uso de estos algoritmos hacia el proceso de romper el cifrado de archivos que contienen passwords de sistemas operativos o cuentas de usuario de otras aplicaciones. que se encarga de generar y de ir probando las diferentes posibilidades hasta dar con el resultado esperado o de mejor conveniencia. • En el caso de formularios web de autentificación que solicitan que ingresemos usuario y clave (validación online. podemos utilizar esta técnica y sus herramientas para verificar la vulnerabilidad de lo que debemos proteger y solucionarla. a veces es necesario llevar a cabo fuerza bruta para evitar el trabajo de probar a mano o generar combinaciones.xls. Es una manera de resolver problemas mediante un algoritmo simple de programación. para conectarse a servicios (puertos) de un sistema remoto y así obtener información de éste o a través de éste.1. .

lo haga en un puñado de horas o en apenas minutos. entre otros lenguajes). la combinación de ellos. por otro lado. si la aplicación aclara en su sitio introduzca su clave de 4 dígitos. Esto puede ser hecho tanto de manera local. la combinación de éstos será muchísimo más elevada que si se elige sólo el charset de números. y una desconsideración que tenga incidencia en éste puede hacer que un atacante real. en lugar de tardar tiempo excesivo en acertar un password mediante fuerza bruta o deducción analítica.3. (2008).1.1. • Para calcular sesiones ID válidas de URLs en páginas de comercio electrónico u otro tipo de sitio web. C. VisualFox o Delphi. ¿Por qué? Por un lado. Hacking ético. caracteres especiales. Antes de gastar días. A continuación se analizan las diez principales variables que inciden en el tiempo de lograr un resultado satisfactorio o el más conveniente. Una clave como ésta complica demasiado la técnica de brute force. 2.. Charset elegido: El charset es un juego de caracteres (character set) que puedeser 0123456789. 2. o passwords como los que están presentes en routers Cisco. 107-109.2. su totalidad o sólo algunos caracteres se leccionados. abcdefghijkl. existe también el charset de 123 El momento en el que los servidores más reciben Brute Force de modo remoto es el fin de semana. Otro motivo por el que debemos conocer el sistema es que. El tiempo es muy valioso en la seguridad informática.” Tori. utilizando un cliente para ese servicio (como Viewer de VNC por ejemplo) y haciendo que éste automatice su intento por lograr un login válido en el servidor. Si se ataca un password cifrado de sólo números con un charset de muchos caracteres. Rosario editorial. El charset ligado al trabajo de brute force puede ser uno de estos rangos. en la mayoría de las empresas chicas y medianas. sniffearlo. o remotamente. meses o años. como las claves almacenadas en md5 de los foros. vuelve recién el lunes por la mañana. el intruso del tipo script kiddie está libre porque no tiene clases y. ya sean letras. mayúsculas. lograr un usuario de un mismo nivel de privilegio en el sistema o hacer llegar ese login (reestablecido) hacia una casilla de email. números. 1. Powercobol. • Para aplicar fuerza bruta a una aplicación que cuenta con una interfaz gráfica (como aquellas que fueron desarrolladas en Visual Basic.. 8 .• Para descifrar strings de datos cifrados. por ejemplo. Factores que inciden en el tiempo de un ataque de fuerza bruta: “Al utilizar aplicaciones de terceros o scripts programados por uno que intenta descifrar o acertar passwords. existe una serie de factores que pueden llevar a que éstos tarden demasiado tiempo o muy poco en lograr el objetivo. p. La clave por descifrar es fuerte o lo es su cifrado: Debido a la complejidad que dará el número de caracteres y la combinación o entropía (término de la física que significa desorden) de éstos. el intruso experimentado sabe que el administrador. con autentificación de usuario. es posible que se tarde menos en blanquear ese password.z o mayúsculas. caracteres especiales y distintos símbolos.

etcétera. gerente. leonas). marcianoblanco. Brute force según patrón. marciano8. entonces el script o programa intentará: marciano6. • Passwords comúnmente utilizados (qwerty. combinada con los datos extraídos mediante information gathering e ingeniería social. 123456). de parientes o seres queridos. pumas.¿para qué darle brute force a su password cifrado (en caso de que lo hayamos obtenido) o servicio con un charset completo? Con sólo intentar el charset de números. cantidad y tipo de charset. en el diccionario está la palabra marciano. negrita). con ejemplos de passwords entre paréntesis. • Nombre de mascotas (tobby. Técnica de brute force en modo híbrido: Es similar a la utilización del diccionario. marciano7. tendríamos que adicionarles las siguientes: • Número de DNI (00000000). • Fechas en formato ddmmaaaa o ddmmaa (desde el año 1900 a hoy. • Nombres propios. mora. Por ejemplo. • Bandas de música favoritas (sodastereo. por cumpleaños y aniversarios). Se basa pura y exclusivamente en delinear una serie de palabras o de passwords sobre la base del conocimiento previo que tenemos de la organización u objetivo. etcétera. • Letras de libros o segmentos (invisiblealosojos). 3. ingeniera. marcianoamarillo. • Nombres (romina) y diminutivos (rominita). Veamos las clases de palabras que debería tener. • Números del cero hasta N. divididos. • Títulos de canciones (blackbird. • Letras de canciones o segmentos. 5. miranda). También se pueden unir dos palabras de un mismo diccionario. • Todas las palabras del diccionario español e inglés. operadores). pero combinando cada palabra con algunos caracteres al final o delante de cada una de esas palabras allí contenidas. como por ejemplo. 4. suelen dar frutos rápido. • Nombres de barrios. teparatres). • Passwords por defecto (admin). elalquimista). • Equipo de deporte favorito (riverplate. • Títulos de libros favoritos (zaratustra. michelle. Los caracteres que pone al final de cada palabra estarán definidos por nosotros en su configuración. 9 . chunchuna. boca. • Oficios y trabajos (arquitecta. atila. A los tipos de passwords nombrados para agregar en los diccionarios. passwords generados a mano según objetivo: Esta técnica. • Passwords extraídos de otras bases de datos. especialmente si el diccionario está confeccionado de manera inteligente. yoclaudio. Utilización de diccionarios de palabras: El empleo de éstos contra archivos de cuentas cifradas a través de un diccionario de palabras predefinidas da muy buenos resultados. en pocos segundos lo descifrará. marcianolila. marcianoverde.

53 Ghz. Por eso. que es cuando disponemos de un objetivo en determinado rango que. organización. de auto. como marcas de ropa. hobby o trabajo. contra las 5. pokemon. messi. • Nombre del ISP. pero ya no son de user y pass al azar. 7. contenga usuarios y passwords por defecto de fábrica o bien si nos disponemos a comprobar en una base de datos cuáles combinaciones son aún válidas en determinado servidor.451 comprobaciones por segundo para descifrar un hash md5. • Passwords históricos de éste o los que utilice en otro lugar. Una tabla muy interesante sobre este tipo de procesamiento existe en la página de MDCrack. 8. • Todo aquel otro gusto o preferencia que se le conozca a la persona. por dar dos ejemplos simples). • Ídolos favoritos musicales. La forma lógica de utilizar brute force de manera remota es conociendo al usuario de sistema (viendo de antemano el archivo /etc/passwd a través de un error de programación de la página o a través de Google como usuario de correo. Las combinaciones de esta clase son infinitas e inútiles. • Números de la suerte. • Cosas relacionadas con sus estudios. etcétera. institución o universidad.080. cada usuario con su respectivo password que en algún momento fue válido o aún lo es. Hay dos casos. napoleon). Por ejemplo. Ancho de banda: Existe una gran diferencia entre hacer brute force sobre unshell que posee la velocidad de un caño de varios megas de transferencia por segundo. posiblemente. de perfume. de modo que se probaría en este formato: • user1: supasswordhistorico • user2: supasswordhistorico • user3: supasswordhistorico Es decir.299. reales. ambos por azar y de manera remota a servicios de autentificación: Esto es una total pérdida de tiempo y es el método que más engorda logs de servidores (archivos de registros que contienen los intentos fallidos contra el servidor) cuando no se tiene noción de la técnica BF y se trata de aplicar a servicios online. del objetivo. • Todos los anteriores seguidos de números en modo híbrido. un intruso (malicious people como las cataloga Secunia en su Weekly Summary) suele hacerlo desde una shell o servidor muy potente que cuenta con gran velocidad para la transmisión de datos.455 que hace una máquina con Windows XP y un micro Athlon 1.• Número de asociado a alguna entidad. El microprocesador en la técnica de fuerza bruta: La importancia del micro es fundamental por su potencia debido a la cantidad de cálculos por segundo que éste será capaz de realizar. 6. Intentar probar usuarios y passwords. ficticios o históricos (lennon. al dejar su e-mail escrito por allí. 10 .2GHz (DC + HT) realiza 42. una máquina con Windows XP Pro y micro 2x XEON 3.

y los archivos de definición se encuentran en www.1. La programación por parte del pentester. Rosario editorial. los factores. para sacarse una duda lo haya escrito rápido.com/downloads. sin elegancia o el mejor pulido código de programación. con qué y durante cuánto tiempo hacerlo. La herramienta utilizada en sí: Su algoritmo y funcionamiento (no comparar LC5 con Ophcrack.net/brutus/brutus-applicationdefinition-files. FreeBSD MD5. MDCrack: Se descarga de http://membres. 2.lycos. Para aprender a utilizarlo.3. Hacking ético. Rfc 2104 HMAC-MD4 HMAC-MD5. por dar un ejemplo). Hydra para linux: Hydra se puede descargar de freeworld.yoire.fr/mdcrack/ y podemos conocer detalles sobre su uso leyendo el FAQ dentro del archivo. conocer características del objetivo y tener algunos conocimientos técnicos previos y la diferencia entre tipos de hashes. Apache MD5.hoobie.php y. La falta de entendimiento o de comprensión por parte del ejecutor: Para emplear esta técnica hay que saber dónde.salt). entre otros se puede obtener de www. cómo. Cisco PIX Enable/User. (2008). C. Generic MD4MD4S: MD4(MD4(pass). el manejo de sockets. entre otras tantas cosas. Cisco IOS. Brutus (win32) para Windows: Se puede obtener del sitio de Brutus es www.salt) 11 . p. SQL injection y XSS. muy útil para realizar brute force sobre variables. podemos buscar la frase Manual Brutus en Google 4.html. Generic PHPS: MD5 (hex(MD5(pass)).org/releases. en el caso de escribir un script y utilizarlo localmente. cookies y credenciales o buscar CGIs. “ Tori. 2. para ver ejemplos de utilización. Generic MD4MD4: MD4(MD4(pass)). Microsoft NTLM1. cifrados y archivos.x. Los algoritmos que puede descifrar esta herramienta son los siguientes: Rsa MD2 MD4 MD5. Mark Adler ADLER32.net/brutus/. Invision Power Board 2. IEEE CRC32 CRC32-B.php?tag=pipper. 123-128. hay que leer el archivote nombre: README 3. Hay que tener en cuenta las probabilidades.3. Generic PHP: MD5(hex(MD5(pass))).1. los tiempos de respuesta. Herramientas para llevar acabo un ataque de fuerza bruta: 1.9. Pipper: Herramienta creada por Alberto Moro (Mandingo). 10.hoobie.thc. Es muy posible que.

que luzca bien ante los ojos del usuario. 125-128. La primera ley del desarrollador web en cuanto seguridad es jamás confiar en que todos los usuarios o visitantes introducirán los datos correctos o esperados dentro de un formulario online. a través de éstos. es decir.3. un gran número de sitios y aplicaciones web interactúan con bases de datos ya que. • El sitio web podría estar programado en . 2. mínimos y máximos en cantidad de letras o números. El programador web medio. modificación. que obtenga simplemente el resultado esperado o la acción. p. en principio busca funcionalidad en la aplicación.1. • El resultado puede mostrarse al usuario o no. en su código fuente.asp o .2. es decir. almacenamiento. Estas reglas pueden ser eludidas fácilmente mediante la manipulación de los datos en tránsito (a través de un proxy camino al servidor). consultados o modificados. • Éstas. El visitante puede adosar un hash y luego ver su resultado. gestionados de algún modo. embebidas desde el mismo código fuente de la página o scripts incluidos. que deben ser almacenados. Es allí cuando nace el descuido. ntlm y doble md5. o bien puede dar un error de sistema. Texto-plano: www. etcétera. junto con los datos suministrados por el visitante. irán directamente a la base de datos para lograr un resultado a partir de lo que ideó e interpretó el programador o analista: consulta. strings SQL (sentencias). La interacción ocurre más o menos de este modo: • El usuario introduce datos en un formulario o hace clic en un link del tipo http://sitioweb/producto. Inyección de código SQL: “En la actualidad. empleando rainbow tables. Hacking ético. Comprende los cifrados lm.info es un sitio en donde se descifran passwords mediante un mecanismo distribuido. ejecución. borrado.plain-text. Tori. Luego intentará obtener un mejor diseño visual. Recién por último se preocupará por la seguridad y cómo aplicarla de modo correcto. md5. ya que generalmente implementa sólo algunas comprobaciones en los campos (algo muy normal que enseñan en los cursos de programación). Estos campos suelen estar bajo determinadas reglas de filtrado desde la misma página: caracteres especiales.asp?id=25. es accedida a través de sentencias SQL. Rosario editorial. Esta información sensible o no. (2008).php (entre otros lenguajes) y a su vez contendrá.5. se maneja información de diferentes niveles de criticidad. la segunda regla es no creer que todos los 12 . o quien fuera el desarrollador de ese script. C.

uno de búsqueda. C. p.2. Tori. 13 .2. sus tablas.3. Resultado: Obtenemos el nombre del servidor. salvo en las ocasiones en las que el programador haya tomado algunos recaudos o los niveles de privilegios que no nos permitan ejecutar algo. Rosario editorial. ¿Qué se puede hacer con inyecciones de código SQL? “El impacto es en el ámbito de la información y del sistema operativo.@@version)-Error: Microsoft OLE DB Provider for ODBC Drivers error '800a0e07' [Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value 'Microsoft SQL Server 2000 . paréntesis en algunos casos sin contar las técnicas de evasión).1. 2.2.3.173. haciendo una previa de database gathering o tratando de mapear cuáles son las databases del servidor.2187 (Intel X86) Mar 7 2006 11:36:51 Copyright (c) 1988-2003 Microsoft Corporation Standard Edition on Windows NT 5.@@servername)-Error: Microsoft OLE DB Provider for ODBC Drivers error '800a0e07' [Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value 'GCIASISTEMAS' to a column of data type int. Hacking ético. se trata de ir armando nuestras consultas inyectadas. probar de todo) y agudeza”.164-166.171-172. Algunos ejemplos de inyecciones de código SQL: Errores al inyectar código SQL en campos de datos: * Inyectado: ‘and 1=convert(int.1. Rosario editorial. los nombres. En principio. C. links ocultos al público ligados a la DB. (2008). Metodología de las Inyección de código SQL: “Básicamente.2. Ya sea un formulario de acceso user/pass. las posibilidades son innumerables. hay que encontrar un campo o punto vulnerable a la inyección. si hay espacios demás. Sobre la base de esos datos. viendo qué sentencias se pueden utilizar. se utiliza HAVING y GROUP BY para las primeras.1.3. de contacto.8. luego del carácter no filtrado (“o”. p. Tori. cómo interactuarlas”. es algo más que escribir puro código SQL. de comprobación de cualquier dato. de recuperación de password. link con variables. sus registros. scripts y archivos de testeo. CGIs por defecto.2 (Build 3790: Service Pack 1) ' to a column of data type int. Generalmente. aplicaciones del tipo foro y otras de terceros públicas y licenciadas. * Inyectado: ' and 1=convert(int. Hay que tener un poco de perseverancia (si generamos el error.3. Rosario editorial. Tori. sus usuarios y sus privilegios. Después. Resultado: obtenemos la versión del servidor. Pero si todo está por defecto y no hay reglas de filtrado. Hacking ético. ya sea vía método GET o POST. puliéndolas.00.visitantes vayan a respetar la sintaxis de la URL de consulta sin modificar la al realizar el query (petición http)”. Hacking ético.1. p. C. (2008). 2. 2. (2008).

* Inyectado: ' and 1=convert(int.2. El análisis de riesgo implica determinar lo siguiente: 3. y cuales son más importantes que otros. Seguridad en las empresas: “Análisis del Riesgo Cuando usted crea una política de seguridad de red. A pesar de toda la publicidad acerca de los intrusos que irrumpen en una red.* Inyectado: ' and 1=convert(int. 5.user_name(3))-Error: Microsoft OLE DB Provider for ODBC Drivers error '800a0e07' [Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value 'webmaster' to a column of data type int. 2.db_name(1))-Error: Microsoft OLE DB Provider for ODBC Drivers error '800a0e07' [Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value 'master' to a column of data type int. ¿De qué necesita protegerlo? ¿Cómo protegerlo?” Álvarez. Esto significa que usted debe conocer cuales recursos cale la pena proteger. Resultado: Nombre del usuario bajo el cual se ejecuta la aplicación de Database. las verdaderas pérdidas causadas por los usuarios internos son mucho mayores. También debe identificar la fuente de amenazas de la que usted está protegiendo a los recursos de la red. Tesis de maestría. muchos estudios indican que. en el caso de la mayoría de las organizaciones. * Inyectado: ' and 1=convert(int. asegurar que los esfuerzos dedicados a la seguridad impliquen un costo razonable.system_user)-Error: Microsoft OLE DB Provider for ODBC Drivers error '800a0e07' [Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value 'sa' to a column of data type int. 10).2. Seguridad en informática. Seguridad por niveles: “La mejor manera para proteger la información de una empresa es aplicar protección a cada uno de los niveles en un sistema de información a continuación se muestran estos niveles: 14 . Resultado: Nombre del tercer usuario (podemos variar el número para confeccionar una lista de todos). Universidad Iberoamericana (P. L. Resultado: Nombre de la primera database. (2005). 2. es importante que comprensa que la razón para crear una política es. ¿Qué necesita proteger? 4. en primer lugar.1.

Define aspectos mecánicos. Es por esta razón que su trabajo acorde al tipo de conexión es muy variable. en cambio al conmutar circuitos prácticamente no tiene sentido.División de la conexión del enlace de datos (Divide un enlace de datos en varias conexiones físicas).Transmitir las unidades de datos. Funciones y servicios: .2. etc. .Secuenciamiento de bit (Entregar los bits en el mismo orden que los recibe). .Proporciona parámetros de Calidad de Servicio (QoS). . .Control de flujo (Regula la velocidad a la cual la capa de enlace trabaja dinámicamente).1. 2.Direccionamiento de red.2. Nivel 1 (Físico): Recibe las tramas de nivel 2. 2. por ejemplo: Tiempo medio entre fallas.2. si bien esto no es contemplado por OSI.Identificación de puntos extremos (Punto a punto y multipunto). 15 . Nivel 3 (Red): La tarea fundamental de este nivel es la de enrutado y conmutación de paquetes. . .Multiplexación de conexiones de red. . Proporciona los medios para asegurar la confiabilidad a la ristra de bits que recibió. Funciones o servicios: .1. . FEC {Forward Error Control}). .Control de fallos físicos del canal.La IEEE lo subdivide en dos capas MAC (Medium Access Control) y LLC (Logical Link Control). . BER (Bit Error Rate).1. sin eximir a capas superiores de hacerlo.1.Gestión de la capa física.Conmutación de paquetes.Establecimiento de circuitos virtuales.Detección de errores (CRC {Control de Redundancia Cíclica} – Checksum). . Funciones y servicios son: . .2. En una red de conmutación de paquetes puede ser implementado en detalle. Nivel 2 (Enlace): Establece la conexión con el nodo inmediatamente adyacente. eléctricos u ópticos y procedimentales. . disponibilidad de servicio.2.Encaminamiento y retransmisión (Define las rutas a seguir). . retarde en el tránsito.Activar/desactivar la conexión física.3. las convierte en señales eléctricas u ópticas y las envía por el canal de comunicaciones. Básicamente efectúa el control de flujo de la información.Corrección de errores (ARQ {Allowed to ReQuest}.

Formatos de presentación. Optimiza la relación costo beneficio. . Funciones y servicios: . Tiene en cuenta la semántica (significado) de los datos. EBCDIC.2.Reseteado de sesión a un punto preestablecido.2. 2.Selección del tipo de terminal.7. 2. .Facturación de extremo a extremo. . Funciones y servicios: . . -Establecimiento de puntos de control en el flujo de datos para comprobaciones intermedias y recuperación durante la transferencia de archivos.Aceptación de datos de nivel siete (Enteros.5.etc.Correspondencia entre direcciones de transporte y de red.). Funciones y servicios: 16 .Supervisión de red.). 2. .1.1. etc. .2. . Nivel 4 (Transporte): Su tarea fundamental es la conexión de extremo a extremo (end to end).: Compresión). .4. . Permite al usuario elegir entre distintas calidades de servicio.: ASCII. Nivel 7 (Aplicación): Sirve de ventana a los procesos de aplicación. usa.1. entre dos ETD.2. Nivel 5 (Sesión): Permite el diálogo entre usuarios.1.6.Establecimiento del diálogo Half Dúplex o Full Dúplex.Abortos y rearranques. Nivel 6 (Presentación): Asigna una sintaxis a los datos (Cómo se unen las palabras). se establece. caracteres.Transformación de datos para fines especiales (Ej. Funciones y servicios: . negociando la sintaxis elegida (Ej.Cifrado. Se definen cinco clases que van desde la cero (sin recuperación y eliminando paquetes dañados) hasta la cuatro (Detección y corrección de errores extendida). cierra una conexión llamada sesión.2.Codificación de caracteres gráficos y funciones de control gráfico.

lo cual la vuelve inefectiva.2. A. DarFE editorial. La seguridad en el sistema de cómputo de una empresa: “Es importante tener una política de seguridad de red bien concebida y efectiva que pueda proteger la inversión y los recursos de información de la compañía.2. Estrada.Servicios de directorio (Transferencia de archivos). La mayoría de las organizaciones tienen en sus redes información delicada y secretos importantes. puede traer consecuencias indeseables: los usuarios de la red quizá encuentren la forma de eludir la política de seguridad. Si esos sitios no están conectados a través de una red interna. 25-31. Una política de seguridad en redes efectiva es algo que todos los usuarios y administradores de redes pueden aceptar y están dispuestos a aplicar. Una política de red que impide que los usuarios cumplan efectivamente con sus tareas. Política de seguridad del sitio: Una organización puede tener muchos sitios. la política de seguridad del sitio debe considerar las necesidades y requerimientos de seguridad de todas las redes interconectadas. Vale la pena implementar una política de seguridad si los recursos y la información que la organización tiene en sus redes merecen protegerse.1.2. si los sitios están conectados mediante una red interna. . . Planteamiento de la política de seguridad: Definir una política de seguridad de red significa elaborar procedimientos y planes que salvaguarden los recursos de la red contra perdida y daño. La política de seguridad del sitio debe tomar en cuenta la protección de los recursos.2. Sin embargo. También debe tomar en cuenta que la política de seguridad que Usted debe usar es tal. 2. P. Debido a que el sitio está conectado a otras redes. cada uno de ellos puede tener sus propias políticas de seguridad de red.. Sí la organización es grande.2. es muy probable que los sitios tengan diferente administración de red. que no disminuirla la capacidad de su organización. Uno de los enfoques posibles para elaborar dicha política es examinar lo siguiente: ¿Qué recursos esta usted tratando de proteger? ¿De quiénes necesita proteger los recursos? ¿Qué tan posibles son las amenazas? ¿Qué tan importante es el recurso? 17 . 2. la política de red debe abarcar todos los objetivos de los sitios interconectados.Terminal virtual”.Manejo de correo electrónico. Seguridad por niveles. (2011).2. esto debe protegerse del acceso indebido del mismo modo que otros bienes valiosos como la propiedad corporativa y los edificios de oficinas.2. con metas y objetivos diferentes. 2. y cada uno contar con sus propias redes.

2. 2.2. Identificación de las amenazas: Una vez que se han identificado los recursos que requieren protección. usted debe identificar las amenazas a las que están expuestos. En el análisis de riesgo hay que determinar los siguientes dos factores: 1. Esto sé llama acceso autorizado. es importante que comprenda que la razón para crear una política es. Definición del acceso no autorizado: El acceso a los recursos de la red debe estar permitido a los usuarios autorizados. Una amenaza común que afecta a muchos sitios es el acceso no autorizado a las instalaciones de cómputo. También debe identificar de qué amenazas esta usted tratando de proteger a sus recursos. Un aspecto importante de la política de seguridad de red es asegurar que todos conozcan su propia responsabilidad para mantener la seguridad. El análisis de riesgo implica determinar lo siguiente: ¿Que necesita proteger? ¿De que necesita protegerlo? ¿Cómo protegerlo? Los riesgos deben clasificarse por nivel de importancia y gravedad de la perdida. Sin embargo. Estimación de la importancia del recurso (Wi) Puede asignarse un valor numérico como paso para cuantificar el riesgo de perder un recurso.5. No debe terminar en una situación en la que gaste más en proteger algo que es de menor valor para usted.2. 2. 2. y cuales son más importantes que otros. debe realizarse con regularidad. Es difícil que una política de seguridad se anticipe a todas las amenazas posibles. Estimación del riesgo de perder el recurso (Ri) 2. Esto significa que usted debe conocer cuales recursos vale la pena proteger. las políticas s pueden asegurar que para cada tipo de problema haya alguien que lo pueda manejar de manera responsable. en primer lugar. A pesar de toda la publicidad acerca de los intrusos que irrumpen en una red. asegurar que los esfuerzos dedicados a la seguridad impliquen un costo razonable. muchos estudios indican que. como el uso de la cuenta de otro 18 .2.¿Qué medidas puede implementar para proteger sus bienes de forma económica y oportuna? Examine periódicamente su política de seguridad de red para ver si han cambiado los objetivos y las circunstancias de la red.2. en el caso de la mayoría de las organizaciones.3. La evaluación de la amenaza y los riesgos no debe ser una actividad de una sola vez. Este acceso puede tomar muchas formas.4. Pueden examinarse las amenazas para determinar que posibilidad de perdida existe. las verdaderas pérdidas causadas por los usuarios internos son mucho mayores. Análisis de riesgo: Cuando usted crea una política de seguridad de red. como se defina en la política de seguridad del sitio.2. También debe identificar la fuente de amenazas de la que usted esta protegiendo a los recursos de la red.

2. puede encontrarse mayor información acerca de CERT. estudiantes. pueden ser empleados que tengan acceso a la red desde sus hogares o durante un viaje. se considera que el uso de cualquier recurso de la red sin permiso previo es un acceso no autorizado.6. No es necesario enlistar a cada usuario. pueden no ser empleados. ¿Cuáles son los derechos y las responsabilidades del usuario? 6.2. en general. 2. ¿Quién esta autorizado para conceder acceso y aprobar el uso? 4. o bien. las universidades de prestigio. los sitios del gobierno y las zonas militares parecen atraer más intrusos. ¿Cuál es el uso adecuado de los recursos? 3.2. debido a su tamaño y visibilidad. Identificación de quien esta autorizado para usar los recursos de la red: Debe hacerse una lista de los usuarios que necesitan acceso a los recursos de la red. profesores. ¿Quién esta autorizado para usar los recursos? 2. etcétera.7. La política que usted elabore será la Política de 19 . en comparación con los de los usuarios? 7. ¿Quién puede tener privilegios de administración del sistema? 5. ¿Cuáles son los derechos y las responsabilidades del administrador del sistema. Debe tener lineamientos aparte para cada clase. En algunos sitios.8. Algunos sitios. En la sección “Equipo de respuesta de seguridad”. pueden ser objetivos más frecuentes que otros. En general. Los lineamientos dependen de la clase de usuarios. usted debe establecer los lineamientos del uso aceptable de dichos recursos. 2. así como que tipo de uso esta restringido. La política debe establecer que tipo de uso es aceptable y cual es inaceptable. Identificación del uso adecuado de los recursos: Una vez determinados los usuarios autorizados a tener acceso a los recursos de la red. abogados corporativos. También debe tomar en cuenta una clase llamada usuarios externos esta se compone de los usuarios que tengan acceso a su red desde otras partes.2. ¿Qué hace usted con la información delicada? 2. como estaciones de trabajo autónomas y otras redes. usuarios ex-ternos.2. La mayoría de estos pueden dividirse en grupos como usuarios de contabilidad. El Equipo de Respuesta de Emergencias de Computo (CERT) ha hecho la observación de que. así como sobre otras organizaciones similares. ingenieros. etcétera. el solo hecho de conceder acceso a un usuario no autorizado puede causar daños irreparables por la cobertura negativa de los medios. Uso y responsabilidades de la red: Existen numerosas cuestiones que deben abordarse al elaborar una política de seguridad: 1. La gravedad del acceso no autorizado depende del sitio y de la naturaleza de la perdida potencial. como desarrolladores de software.usuario para tener acceso a la red y sus recursos.2.

La EMA sugiere cinco criterios para evaluar cualquier política: 1.9. 8. Determinación de las responsabilidades del usuario: La política de seguridad de la red debe definir los derechos y las responsabilidades de los usuarios que utilizan los recursos y servicios de la red. 20 . Que acciones legales u otros castigos pueden implantarse. Las organizaciones deben establecer políticas que no se limiten a correo electrónico. Algunas organizaciones recurren a asesores externos para que evalúen la seguridad de sus servicios. Como parte de esta evaluación. Una declaración sobre la privacidad del correo electrónico (Ley de Privacidad en las Comunicaciones Electrónicas) 9. Los usuarios son responsables de hacer respaldos de sus datos o es esto responsabilidad del administrador del sistema. sino que también abarque otros medios. La política aborda apropiadamente todas las formas de comunicación y mantenimiento de archivo en la oficina. Consecuencias para los usuarios que divulguen información que pueda estar patentada. Lineamientos acerca del uso de los recursos de red. La Asociación de Correo Electrónico (EMA. ellos tendrán el derecho de realizar “vandalismo”. para permitir que otros que trabajen en un proyecto tengan acceso a sus cuentas. tales como que los usuarios estén restringidos. ¿La política es funcional. ¿La política cumple con la ley y con las obligaciones hacia otras empresas? 2. Electrónica Mail Asociación) recomienda que todo sitio deba tener una política acerca de la protección de la privacidad de los empleados. La política debe tener margen para estas situaciones. 2. práctica y de posible cumplimiento? 4. como discos. del patrón o de otras empresas. Una política respecto a correo o publicaciones controversiales en las listas de correo o grupos de discusión.2. 3. Pueden los usuarios revelar su contraseña en forma temporal. La siguiente es una lista de los aspectos que usted puede abordar respecto de las responsabilidades de los usuarios: 1. 4. Una política sobre comunicaciones electrónicas. Evaluar los puntos débiles de la seguridad y tomar las medidas adecuadas puede ser eficaz para repeler ataques de hackers. Que constituye un abuso en términos de usar recursos de red y afectar el desempeño del sistema y de la red. cintas y documentos impresos. Política de contraseña de usuario: con que frecuencia deben cambiar de contraseña los usuarios y que otras restricciones o requerimientos hay al respecto. 6. Si el acceso a un re-curso de la red esta restringido.Uso Aceptable (AUP) de esa red. 5. Esta permitido que los usuarios compartan cuentas o permitan a otros usar la suya. La política compromete innecesariamente los intereses del empleado. 7. debe considerar el nivel de acceso que tendrá cada clase de usuario. 10. 3. 2. tales como falsificación de correo.2.

Desde el punto de vista de la seguridad. y cómo y por que ocurrió. usted debe considerar que otros servicios e información se proporcionan y a los cuales el usuario podrá tener acceso. La política de 21 .11. no debe tener una cuenta en un sistema que contenga dicho material. asegurar un sistema puede implicar hardware. la violación quizás haya sido efectuada no solo por una persona. En cada una de estas circunstancias. Por otra parte. Si la política de seguridad es demasiado restrictiva. Los procedimientos de seguridad que usted establezca deben reducir al mínimo la posibilidad de que no se detecte una infracción de seguridad. la información en extremo delicada. Debe llevarse a cabo una investigación para determinar las circunstancias en torno a la violación de seguridad. software y costos adicionales de administración. como nóminas y planes.2.2.2. por lo cual puede no ser rentable asegurar datos en un host que no sea muy importante para la organización o los usuarios. sino por un grupo que a sabiendas realiza un acto en violación directa de la política de seguridad. En ocasiones las violaciones a la política son evidentes. debe estar restringida a unos cuantos hosts y administradores de sistemas. es muy probable que sea violada o desactivada. la política de seguridad debe contar con lineamientos acerca de las medidas que se deben tomar.2. En general. Para concederle a un usuario acceso a un servicio de un host. otras veces estas infracciones no son detectadas. En este último caso.5. Si no se producen cambios en la seguridad de la red cuando esta sea violada. Si el usuario no tiene necesidad de manejar información delicada. por ignorancia de la política vigente o si deliberadamente la política fue pasada por alto. debe determinar si esta ocurrió debido a la negligencia de un individuo. La política de seguridad y su implementación deben ser lo menos obstructivas posible. entonces debe modificarse la política de seguridad para eliminar aquellos elementos que no sean seguros. Cuando usted detecte una violación a la política de seguridad. el sistema esta sujeto a amenazas. a un accidente o error. algunos usuarios tienen la tendencia a violarla.10. Plan de acción cuando se viole la política de seguridad: Cada vez que se viola la política de seguridad. La política también debe tomar en cuenta el hecho de que usted necesita decirles a los usuarios que podrán guardar información delicada que servicios son apropiados para el almacenamiento de dichos datos. 2. Al margen del tipo de política que se implemente. ¿La política fue anunciada por anticipado y aceptada por todos los interesados? 2. usted no desear que los usuarios guarden información muy delicada en un sistema que usted no planee asegurar bien. o esta explicada inadecuadamente. Que hacer con la información delicada: Usted debe determinar que tipo de datos delicados pueden almacenarse en un sistema específico. También debe considerar si existe una seguridad adecuada en el sistema para proteger la información delicada.

. con base en el tipo de usuario que haya violado la política de seguridad de cómputo. usted debe identificar otros puntos vulnerables. Por lo general. una carta formal o la presentación de cargos judiciales. La política de seguridad debe remitirse a la guía del administrador de sistemas del sitio respecto a detalles adicionales acerca de la implementación de los procedimientos de seguridad. Los usuarios locales son llamados usuarios internos y los externos.2. Identificación y prevención de problemas de seguridad: La política de seguridad define lo que necesita protegerse.” Si no se conocen adecuadamente los recursos más importantes y los que están expuestos a mayores riesgos. el enfoque anterior hará que ciertas áreas tengan más protección de la que necesitan. Es razonable esperar que el tipo y severidad de la acción dependan de la gravedad de la violación. Si todo esto implica una publicidad negativa. Si se ha producido una pérdida significativa. administrativos. Los ejemplos de respuestas pueden ir desde una reprimenda o advertencia verbal. 2. En una sección separada de la política de seguridad deben abordarse los procedimientos generales que deben implementarse para evitar problemas de seguridad. Estas acciones requieren ser definidas con claridad.12. Además de realizar el análisis de riesgo de los recursos de la red. pero no señala explícitamente como deben protegerse los recursos y el enfoque general para manejar los problemas de seguridad. debe evaluar el nivel de importancia de los recursos de la red y su grado de riesgo. Antes de establecer los procedimientos de seguridad. tener módems de contestación de Llamada. sin haber definido la política de seguridad de la red: “Nuestro sitio necesita ofrecer a los usuarios acceso telnet a los hosts internos y externos. quizá usted tendrá que tomar acciones más drásticas. tener tarjetas inteligentes para registrarse desde afuera. la respuesta puede depender del tipo de usuario responsable del acto.2. Las violaciones a la política pueden ser cometidas por gran variedad de usuarios. La siguiente lista es un intento de describir algunas de las tareas más problemáticas. En muchas ocasiones es tentador empezar a implementar procedimientos como el siguiente. la distinción entre ambos tipos está basada en los límites de red. usuarios foráneos. El tipo de límite determina cual debe ser la respuesta a la violación de la seguridad. legales o políticos. evitar acceso NFS a los hosts internos. algunos pueden ser locales y otros externos. Usted necesita definir la acción según el tipo de violación.2.seguridad debe contener lineamientos acerca de las acciones correctivas para las fallas de seguridad.13.2.. Esta lista lo puede orientar en la 22 . y que otras áreas más importantes no tengan suficiente protección. Respuesta a las violaciones de la política de seguridad: Cuando ocurre una violación. pero negarlo a los usuarios externos. quizás usted prefiera arreglar la falla de seguridad y no emprender acción judicial. 2. Los usuarios internos y externos de su red deben estar conscientes de la política de seguridad.

Rosario editorial. no es recomendable usar nombres rea les.” Tori. C. menos la de nuestra empresa.” Tori. Hacking ético. 2. C. Mediante una petición http (usando el explorador Explorer o una línea de comandos. Muchas de éstas pueden lograrse a través del puerto 80. 23 .43).dirección correcta. (2008). (2005). una política interna que dicte a sus emplea dos: no utilizar passwords relacionados con uno mismo ni utilizar esas claves en otros ambientes personales. eliminando así la posibilidad de libre y mala elección del empleado. (2008). por ejemplo. Seguridad en informática. se puede encontrar información muy importante del objetivo y llevar acabo algunos ataques o chequeos muy interesantes. Planteamiento de los objetivos: • • • Definir el significado e importancia de la seguridad informática. en el que se encuentra parte de la información que buscamos. Rosario editorial. Conviene usar una de Hot mail o Gmail. Hacking ético. Puntos de acceso Sistemas configurados inadecuadamente Problemas de software Amenazas internas Seguridad física” Álvarez. Planteamiento del problema: ¿Cuáles son las principales medidas de seguridad que la empresa debe de tener en cuenta para evitar la piratearía informática? 4. Algunos tics para mejorar la seguridad informática en las empresas: “El profesional puede mitigar problemas redactando. Rosario editorial. por ejemplo). Hacking ético. recordemos usar un proxy http para no dejar la dirección IP real allí. Además. Tesis de maestría. Establecer los agentes internos y externos que influyen en la seguridad informática de una empresa. Otra forma sería asignar un determinado password. que es el servidor web donde se aloja comúnmente el sitio de la organización o un sitio que está en ese mismo servidor. 7. 54.2. cargos o detalles. 51. si no sólo nicknames aleatorios. “Nunca conviene postear (publicar) direcciones de e-mail. p. 74. Definir el concepto de hacker o pirata informática. Universidad Iberoamericana (P. Si posteamos desde nuestra empresa. es vital reconocer la importancia que tiene el generar errores y descubrir cosas ocultas en el objetivo. p. C. L. p. 3. pero de ningún modo esta completa. “En el chequeo de seguridad o bien en la emulación del ataque.” Tori. (2008).3. ya que es probable que su sitio tenga algunos puntos vulnerables particulares.

Define el comportamiento de los agentes ajenos ala información desde como recolectan información antes de llevar un ataque informático hasta cuales son los principales métodos que utilizan para llevarlos acabo. Justificación de la investigación: Se a optado por este protocolo de investigación debido a la problemática existente en las empresas de proteger su información de agentes ajenos a ella. Definir el patrón de comportamiento.1 Beneficios: Los beneficios van dirigidos alas empresas principalmente pero también pueden ser adoptados por otro tipo de instituciones. esto puede ayudar ala empresa a anticipar dichos ataques o estar mejor preparados para afrontar dichos ataques. 5. de un hacker o pirata informático cuando se dispone a realizar un ataque informático. ya que esta ayuda a proteger su información. que nos ayudaran a estar a favor o en contra de la siguiente hipótesis: La seguridad informática es realmente importante en las empresas. Establecer pautas o estrategias que las empresas puedan implementar en su sistema de seguridad. El protocolo de investigación proporcionara estrategias de seguridad que pueden ser implementadas por las empresas para mejor su seguridad informática.• • • Establecer cuales son los tipos de ataques informáticos utilizados comúnmente por los hackers o piratas informáticos. El protocolo de investigación hace saber alas empresas de herramientas o software de licencia libre que pueden ayudar a detectar la existencia de ineficiencias en la seguridad de su sistema de información 24 . 2. para reducir el riesgo o evitar ser victimas de ataques informáticos. como para sus clientes (ya que pueden llegar a invadir la privacidad del cliente). así como las fases de su ataque. Beneficios: 1. 6. 6. ya sea de posibles pérdidas de datos o inclusive de personas ajenas a dicha información que quieran hacer mal uso de ella. ya que la perdida de dicha información puede ser desastroso tanto para la empresa (ya que esto puede causar perdidas financieras). 3. Hipótesis: En este protocolo de investigación se presentaran datos relacionados a la seguridad informática en las empresas.

2.00 $50.2.4. así como las medidas que se deben tomar si la organización es victima de un ataque informático. Impacto tecnológico: Este protocolo de investigación tiene un fuerte impacto en cuanto a la tecnología debido a que el protocolo se desenvuelve en este campo ya que abarca temas relacionados en cuanto a como utilizar la tecnología con fines de seguridad y prevención de la información 6. Presupuesto: Gastos Impresión y Engargolado Septiembre 0 Octubre 0 Noviembre De $30 a $60 Total $50.2.2. El protocolo de investigación estable políticas de seguridad que pueden ser implementadas por las empresas. Impacto ambiental: En cuanto al impacto de este protocolo de investigación no se ha tomado en cuenta su impacto en el ambiente ya que se cree es irrelevante 7. 6.3.00 pesos 25 .2. Impacto del protocolo: 6.1. Impacto social: El protocolo de investigación tiene un impacto importante en cuanto ala sociedad ya que la perdida de información en empresas puede inclusive afectar ala privacidad de las personas ya que en muchos casos las empresas tienen información personal de sus clientes que pudieran ser usadas con fines mal intencionados 6.

Cronograma: Cronograma de trabajo T 1 iempo Actividades Asesoría X metodológica Propuesta Observaciones Proyecto Observaciones Búsqueda de información Análisis e interpretación Redacción Temas del protocolo de investigación Tema Índice Introducción Marco teórico y conceptual Planteamiento del problema Planteamiento de los objetivos Hipótesis Justificación de la investigación Esquema de trabajo Cronograma Presupuesto Bibliografía x x x x x X x x x x Septiembre Semana x x x x x x x x X X x x x x x X x x X 2 X X 3 4 5 6 7 8 9 X X X X X X X X Octubre Semana Noviembre Semana FECHA DE ENTREG A EXPOSICIONES 26 .8.

se ha llegado a la conclusión que efectivamente la hipótesis plantada es correcta ya que la seguridad informática es indispensable en las empresas que contienen un sistema informático ya que esta se encargara de la protección de la información que ahí se maneje. y la protección que se le asigne ala información debe de ir en proporcionalidad a su importancia.9. Jorge Eduardo. Conclusiones: Conforme a los datos presentados en el marco teórico. Computador Científico de la Universidad de Buenos Aires: habla de la importancia de la seguridad informática “La seguridad informática Garantiza que los recursos informáticos de una compañía estén disponibles para cumplir sus propósitos. 27 . Como vemos efectivamente la seguridad informática es realmente importante para proteger nuestra información. Existen muchos agentes externos o internos que atentan contra la información de las empresas y por lo general las empresas no están preparadas para protegerse de las diferentes formas en la que estos agentes atentan contra su información. por ende se le debe de dar la importancia adecuada a su protección. que no estén dañados o alterados por circunstancias o factores externos”. descuidos que pueden dejar abiertas algunas puertas. Es importante que las empresas entiendan la importancia de proteger su información y dediquen el tiempo para analizar las posibles vulnerabilidades en su sistema de información. Por último creemos que la educación en cuanto a seguridad informática de cada uno de las personas que intervienen en el uso del sistema de información ya sea desde los desarrolladores hasta los usuarios finales del sistema de información. que pueden ser aprovechadas por agentes ajenas a ellas que pudieran hacer un mal uso de ellas. es decir. Establecer y analizar la seguridad informática en cada uno de los niveles es la mejor manera de evitar o reducir los ataques de piratas informáticos o hackers Establecer una política de seguridad de red ayudara a reducir al máximo los descuidos de los usuarios de la red. Debido a la recolección de información se ha llegado a las siguientes conclusiones: La información es una herramienta de trabajo muy importante en las empresas hoy en día. es la mejor forma de evitar los ataques a los sistemas informáticos de las empresas.

Hacking ético.Tesis de maestría en relaciones internacionales. amenazas. DarFE editorial. (2004). 25-31. S. (2002). El ciberterrorismo: ¿una amenaza real para la paz mundial? . Tori. C. Hacking ético. Masana. p. Hacking ético. (2008). (2002). 46-76. Álvarez. C. (2008). Álvarez. J. Bibliografía: Heredero. Rosario editorial. Tesis de maestría. El ciberterrorismo: ¿una amenaza real para la paz mundial? . Tori. Universidad Iberoamericana (P. 51. (2008). p. Seguridad en informática. Rosario editorial. Hacking ético. Tori. Tori. (2008). (2005). 125-128. p. Rosario editorial. p. (2008). C. C. p. A. p. Rosario editorial. p. prevención y soluciones. Masana.Tesis de maestría en relaciones internacionales. Hacking ético. C.9.173. S. (2004). C. Estrada. Informática y comunicaciones en la empresa. 123-128.171-172. Ediciones ENI. Tori. Tori. (2005). Hacking ético. L. (2008). 54. Tori. ESIC editorial. (2008). Rosario editorial. Universidad Iberoamericana (P. 107-109. P. C. 15. 18-19). Hacking ético. 10). (2008). Hacking ético. C. p. 28 . C. L.14). (2008). p. Rosario editorial. p. Rosario editorial. Facultad Latinoamericana de Ciencias Sociales (P. C. (2011). p.164-166.43). Seguridad por niveles. 7. Tesis de maestría.10. Hacking ético. Royer. Rosario editorial. Seguridad en informática. Seguridad en la informática de empresa: riesgos. Rosario editorial. Tori. Facultad Latinoamericana de Ciencias Sociales (P. Tori.