Introducción a la Seguridad

Informática
T.S.U. Jesús Rivero
INSTRUCTOR ASL
FUNDACITE MERIDA
Academia de Software Libre
Agosto 2006

Historial de revisiones
Revisión 0.1 Marzo 2006
Primera revisión.

Copyright © 2006 Jesús Rivero

Se concede permiso para copiar, distribuir y modificar este documento según los términos de la GNU Free
Documentation License, Versión 1.2 o cualquiera posterior publicada por la Free Software Foundation,
sin secciones invariantes ni textos de cubierta delantera o trasera.

1
 Introducción a la Seguridad Informática

1. ¿Que es Seguridad Informática?

La seguridad informática, generalmente consiste en asegurar que los recursos del sistema de información
(Material Informático o programas) de una organización sean utilizados de la manera que se decidió.

La seguridad informática busca la protección contra los riesgos liados a la informática. Los riesgos son en
función de varios elementos:

• Las amenazas que pesan sobre los activos a proteger.

• Las vulnerabilidades de estos activos.
• Su sensibilidad, la cual es la conjunción de diferentes factores: la confidencialidad, la integridad, la
disponibilidad o accesiblidad.

2. Premisas

• La "globalización" en el conocimiento ha supuesto una quiebra de la seguridad de tiempos pasados

amparada, en gran medida, en un cierto ocultismo.
• Los sistemas anteriores no eran más seguros que los actuales, tan sólo eran mucho más desconocidos.
• Se cae, habitualmente, en abordar la implantación de la seguridad como respuesta a un problema o
situación específica, sin estudiar todos los elementos que puedan estar relacionados.
• Si hablamos de una plataforma web abierta a internet, la seguridad no es responder si instalamos tal o
cual cortafuegos, es bastante más que eso:
• Sistemas de alimentación ininterrumpida para máquinas críticas.
• Duplicidad de almacenamiento control físico.
• Auditoría de conexiones internas y externas.
• Blindaje de ficheros de sistema.
• Control de modificación de ficheros.
• Monitorización de tráfico de red.
• Política de salvaguardas y mucho más.

Un concepto global de seguridad informática sería aquel definido como el conjunto de procedimientos y
actuaciones encaminados a conseguir la garantía de funcionamiento del sistema de información, obtenien-
do eficacia, entendida como el cumplimiento de la finalidad para el que estaba establecido, manteniendo
la integridad, entendida como la inalterabilidad del sistema por agente externo al mismo, y alertando la

2
 Introducción a la Seguridad Informática

detección de actividad ajena, entendida como el control de la interacción de elementos externos al propio
sistema. Si conseguimos todo esto, tarea harto difícil vaya por delante, podremos decir que disponemos
de un sistema seguro.

En el mundo de la Informática se utiliza habitualmente una división en dos grandes áreas que denomina-
mos Hardware y Software.

Dentro del área del Hardware los objetos de nuestra atención son fundamentalmente tres: servidores,
clientes y líneas de comunicaciones.

Dentro del área de Software los objetos de nuestra atención son también tres: sistema operativo, bases de
datos y aplicaciones.

3. Necesidad de La Seguridad
En primer lugar para garantizar el correcto funcionamiento del sistema de información. Toda la inversión
que se haga de nada servirá si no conseguimos alcanzar la funcionalidad para la que se creó el sistema.

En segundo lugar, por prestigio y futuro del sistema y, por extensión, de la Aministración Pública de la
empresa o Institución. Qué provocaría el conocimiento de una quiebra de seguridad del sistema informáti-
co de la FAN, PDVSA, o en algunos ministerios, pérdida de información de años de historia, poseedor de
bases de datos referidas desde a terrorismo hasta narcotráfico pasando por datos personales presupuestos,
nóminas, creo que sobran comentarios. Ello no quiere decir que caigamos en evitar todas aquellas funcio-
nalidades que puedan suponer una quiebra en la seguridad, lo que hay que plantearse es más funcionalidad
con más seguridad. Por último, pero no por ello menos importante, por una razón de imperativo legal. La
Gaceta Oficial de la República Bolivariana de Venezuela La Asamblea Nacional de la República Boli-
variana de Venezuela Decreta La Ley Especial contra los Delitos Informáticos, la cual tiene por objeto
la protección integral de los sistemas que utilicen tecnologías de información, así como la prevención y
sanción de los delitos cometidos contra tales sistemas o cualquiera de sus componentes o los cometidos
mediante el uso de dichas tecnologías, en los términos previstos en esta ley1.

4. Identificación de requisitos de seguridad

Common Criteria o CC (ISO/IEC 15408:1999): estándar internacional para identificar y definir requisitos
de seguridad. Se suele emplear para redactar dos tipos de documentos:

• Perfil de protección (Protection Profile o PP): es un documento que define las propiedades de seguridad
que se desea que tenga un producto; básicamente se trata de un listado de requisitos de seguridad.
• Objetivo de seguridad (Security Target o ST): es un documento que describe lo que hace un producto
que es relevante desde el punto de vista de la seguridad.

3
 Introducción a la Seguridad Informática

5. Entorno y objetivos de seguridad

El primer paso para redactar un PP o un ST es identificar el entorno de seguridad: ¿En qué entorno vamos
a trabajar? ¿Qué activos debemos proteger? ¿Para que se va a usar el producto?

A partir de esta identificación obtenemos una serie de supuestos sobre el entorno (tipos de usuarios, tipo de
red, etc.), una lista de posibles amenazas y una descripción de las políticas de seguridad de la organización.

Por último se define un conjunto de objetivos de seguridad, demostrando que con ellos se combaten las
amenazas y se cumplen las políticas.

6. Requisitos funcionales
Los CC definen un conjunto de requisitos funcionales de seguridad que puede necesitar una aplicación:

• Auditoría de Seguridad: permite el registro de eventos (hay que identificar cuales pueden ser intere-
santes desde el punto de vista de la seguridad).
• No rechazo (Non-repudiation): uso de técnicas para verificar la identidad del emisor y/o el receptor
de un mensaje.
• Soporte de cifrado: si se usa cifrado ¿qué operaciones la usan? ¿que algoritmos y tamaños de clave se
utilizan? ¿cómo se gestionan las claves?
• Protección de datos de usuario: especificar una política para la gestión de datos de usuario (control
de acceso y reglas de flujo de información).
• Identificación y autenticación: uso de técnicas de validación de identidad.
• Gestión de seguridad: definición de perfiles de usuario y niveles de acceso asociados
• Privacidad: soporte del anonimato de los usuarios.
• Autodefensa: la aplicación debe incluir sistemas de validación de su funcionamiento y fallar de manera
segura si esa validación no se cumple.
• Utilización de recursos: soporte a la asignación de recursos, tolerancia a fallos.
• Control de acceso: soporte de sistemas que limiten el número y tipo de sesiones, el nivel de concur-
rencia y que proporcionen información sobre sesiones anteriores al usuario para ayudar a la detección
de intrusos.
• Rutas o canales fiables: existencia de mecanismos que permitan al usuario identificar que accede a la
aplicación real (p. ej. certificados digitales) evitando ataques del tipo hombre en el medio.
• Activos: todo elemento que compone el proceso de la comunicación, la cual la componen: la informa-
ción, el emisor, el medio que la transporta y finalmente el receptor.
• Riesgo: es la exposición a pérdida o posible daño de la información que pueda causar pérdida de dinero,
tiempo y reputación entre otras.

4
 Introducción a la Seguridad Informática

• Amenaza: es cualquier actividad que represente posible daño a su información. Las amenazas pueden
tomar muchas formas.
• Vulnerabilidad: es una debilidad en la seguridad de la información que puede ser explotada por una
amenaza; que podría ser, una debilidad en su sistema de seguridad de red, procesos, y procedimientos.

Algunas de las vulnerabilidades que pueden considerarse serían la ubicación de la información sensible,
el número de personas que necesitan acceder a ella, y como es accedida dicha información.

7. Principios de Seguridad
En general se suele decir que los tres objetivos fundamentales de la seguridad informática son:

• Confidencialidad (Confidentiality): el acceso a los activos del sistema está limitado a usuarios autor-
izados. Estamos respondiendo a la pregunta: ¿quién podrá acceder a los mismos?

La confidencialidad intenta prevenir la revelación no autorizada, intencional o no, del contenido de un

mensaje o de información en general. La pérdida de información puede producirse de muchas maneras,
por ejemplo, por medio de la publicación intencional de información confidencial de una organización
o por medio de un mal uso de los derechos de acceso en un sistema.

• Integridad (Integrity): Los activos del sistema sólo pueden ser borrados o modificados por usuarios
autorizados, ¿qué se podrá hacer con ella?.

La integridad asegura que:

• No se realizan modificaciones de datos en un sistema por personal o procesos no autorizados.

• No se realizan modificaciones no autorizadas de datos por personal o procesos autorizados.
• Los datos son consistentes, es decir, la información interna es consistente entre si misma y respecto
de la situación real externa.

• Disponibilidad (Availability): el acceso a los activos en un tiempo razonable está garantizado para
usuarios autorizados.

La información tiene que estar disponible para quienes la necesiten y cuando la necesiten, si están
autorizados: ¿de qué manera, y cuando se podrá acceder a ella?

La disponibilidad asegura que el acceso a los datos o a los recursos de información por personal au-
torizado se produce correctamente y en tiempo. Es decir, la disponibilidad garantiza que los sistemas
funcionan cuando se les necesita.

5
 Introducción a la Seguridad Informática

Lo contrario de la confidencialidad, integridad y la disponibilidad son la revelación, la modificación y

la destrucción.

Por tanto, la confidencialidad, la integridad y la disponibilidad son unos conceptos claves en el ámbito
de la seguridad de la información y los activos.

Figura 1. Triangulo ID

• Preguntas Interesantes.
• ¿Cuales serían las pérdidas generadas a la compañía si los datos están comprometidos?
• ¿Cuales serían las pérdidas generadas a la compañía si existe una pérdida de propiedad intelectual?
• ¿Cuales son las pérdidas de ingresos en un mercado compartido?
• ¿Qué valor implica la pérdida de privacidad?
• ¿Qué valor representa la pérdida de reputación?
• ¿Tendrá sentido proteger la información si los usuarios no contribuyen en tal acción?

6
 Introducción a la Seguridad Informática

8. Seguridad de la Información
El propósito principal será proteger la información independientemente donde se encuentre almacenada
sea en:

• Papel
• Discos duros de pc’s, dispositivos extraíbles.
• Inclusive en la memoria de las personas.

Lo que implica que nuestros objetivos se centraran en proteger lo que en lo sucesivo identificaremos como
activos:

• La información
• Los equipos que la soportan
• Los usuarios que hacen uso de ella.

9. Activos
La información. En éste grupo se encuentran los activos que conservan la información registrada, bien
sean medios físicos o electrónicos, entre ellos se mencionan los más importantes:

Documentos, informes, libros, manuales, correspondencias, patentes, información de mercado, código de

programación, líneas de comando, reportes financieros, archivos de configuración, planillas de sueldos de
empleados, plan de negocios de una empresa, etc.

Posibles vulnerabilidades: Robos de documentos, pérdidas de archivos de configuración, etc.

Equipos que la soportan.

• Software. Este grupo contiene todos los programas de computadora que se utilizan para la automati-
zación de procesos, es decir, accesos, lectura, tránsito y almacenamiento de la información. Entre ellos
se pueden citar, aplicaciones generales, programas específicos, sistemas operativos, entre otros.

La seguridad de la información persigue determinar como los programas están a disposición de los
usuarios, la forma en que son accedidos y la forma en que se establece la comunicación tanto a nivel
de usuarios-programas, y los programas entre si, sin dejar a un lado como otros sistemas también
interactúan con nuestros programas. Todo esto se realiza con la intención de poder ubicar las fallas
(vulnerabilidades) para que puedan ser tratadas sus respectivas correcciones.

Las aplicaciones deberán estar protegidas para que la comunicación entre base de datos, otras aplica-
ciones y los usuarios se realice de forma segura, atendiendo a los principios básicos de la seguridad de
la información.

7
 Introducción a la Seguridad Informática

Posibles Vulnerabilidades: Fallas publicadas no reparadas. Pérdida en los sistemas de respaldo.

• Hardware. Estos activos representan toda la infraestructura tecnológica que brinda soporte a la infor-
mación durante su uso, tránsito y almacenamiento.

Entre los equipos que se encuentran en este grupo se pueden citar: cualquier equipo en el cual se
almacene, procese o transmita la información de la empresa, siendo los más importantes: computado-
ras, servidores, equipos portátiles, mainframes, medios de almacenamiento, equipos de conectividad,
enrutadores, switchs y cualquier otro elemento de una red de computadoras por donde transita la infor-
mación.

Posibles vulnerabilidades: Fallas eléctricas que dañen los equipos, inundaciones en centros de cómputo,
robo de equipos portátiles.

• Organización. En este grupo se incluyen los aspectos que componen la estructura física y organizativa
de las empresas.

Se refiere a la organización lógica y física que tiene el personal dentro de la empresa en cuestión.

Como ejemplos de estructura organizativa, tenemos entre otros: la estructura departamental y funcional,
el cuadro de asignación de funcionarios, la distribución de funciones y los flujos de información de la
empresa.

En lo que se refiere al ambiente físico, se consideran entre otros: salas y armarios donde están localiza-
dos los documentos, fototeca, sala de servidores de archivos.

Posibles Vulnerabilidades:

• Ubicación insegura de documentos, equipos o personas.

• Estructura organizacional que no permita los cambios en materia de seguridad.

• Usuarios. El grupo usuarios se refiere a los individuos que utilizan la estructura tecnológica y de co-
municación de la empresa y que manejan la información.

El enfoque de la seguridad en los usuarios, está orientado hacia la toma de conciencia de formación
del hábito de la seguridad para la toma de decisiones y acción por parte de todos los empleados de una
empresa, desde su alta dirección hasta los usuarios finales de la información, incluyendo los grupos que
mantienen en funcionamiento la estructura tecnológica, como los técnicos, operadores y administrado-
res de ambientes tecnológicos.

Posibles vulnerabilidades: Olvido de contraseñas, falta de cooperación por parte de los usuarios en
materia de seguridad, descuido de parte de los usuarios en el manejo de la información.

8
 Introducción a la Seguridad Informática

10. Administración de Riesgos

Para su compañía la información tiene un valor incalculable y tiene que estar disponible cuando y don-
de sea requerida, para ser utilizada por personal requerido. Como experto en seguridad, su trabajo es
minimizar la oportunidad que el triángulo CID (figura 1) sea colapsado.

La administración de riesgos, es el proceso completo usado para identificar, controlar, y atenuar el impacto
de eventos indeterminados. Ya que es imposible eliminar los riesgos completamente, el objetivo de la
administración de riesgos es minimizarlos y tratar de conservar la integridad del triángulo CID (figura 1).

La administración de riesgos (figura 2) se puede definir como la ejecución de los siguientes pasos, hacien-
do notar que dicho proceso nunca termina y una vez que completamos la última actividad, bien podríamos
iniciarlo nuevamente para realizar una depuración, o implantarlo y revisarlo constantemente.

Figura 2. Adminitración de Riesgos

9
 Introducción a la Seguridad Informática

Para minimizar los riesgos, lo que se debe hacer en primera instancia es identificar los riesgos potenciales,
amenazas y vulnerabilidades, en todas las áreas del objeto de estudio (por ejemplo: su compañía).

• Riesgo. Es la exposición a pérdida o posible injuria. En aspectos de seguridad de la información, el

riesgo es que la información de tu compañía esté disponible para terceros, lo cual causará pérdidas a la
compañía, tiempo, dinero y reputación.
• Amenaza. En aspectos de seguridad de la información, es una actividad que representa posible peligro
a su información. Las amenazas pueden tomar muchas formas, pero cualquier amenaza es aquella que
pueda perjudicar la integridad del triángulo CID.
• Vulnerabilidad. Es una debilidad en la seguridad de la información que podría ser explotada por una
amenaza; esto es, una debilidad en sus sistemas, seguridad de red, procesos y procedimientos.

El punto crítico que corresponde a minimizar los riesgos, consiste en la identificación de los riesgos y en
crear un plan de atenuación o minimización para dichos riesgos.

11. Conclusiones
En la seguridad de la información, se debe proteger la consistencia del triángulo C-I-D, pero no se podrá
realizar a cualquier costo, y quizás no sea necesario proteger la información. Por ejemplo, si su compañía
vende agua purificada enbotellada basadado en el proceso de la osmosis reversa, ya que este proceso es
bien conocido, por consiguiente no tiene sentido proteger dicho proceso de producción. Sin embargo, si
su compañía ha identificado un proceso revolucionario que reduce los costos y tiempo a la mitad en dicho
proceso, usted sin duda alguna tratará de proteger dicha información. Este es un límite para valorar la
implementación de un plan de protección donde deben combinarse el valor del conocimiento, amenazas,
vulnerabilidades, y riesgos de tal forma que se construya un verdadero plan de atenuación de riesgos. Para
ello será necesario:

• Colocarle un valor a la información.

• Identificar tantos riesgos como sean posibles tanto sus amenazas y vulnerabilidades asociadas.
• Minimizar los riesgos identificados.
• Sea consciente que siempre hay que cosas que fueron pasadas por alto.

Este es el límite en el momento de minimizar riesgos, en algunas ocasiones el costo o dificultad de reducir
un riesgo es mayor que el riesgo por si mismo. Por ejemplo, si trabaja en una fábrica de refrescos y
posee un archivo de texto donde están almacenados todos los ingredientes para producir la línea entera
de productos, no tendría sentido esforzarse invertiendo tiempo y dinero entre otros para proteger dicha
información ya que es una simple lista de ingredientes. Ahora, si usted tiene una fórmula para la mejor
venta del producto y su compañía es la única en crear ese producto si tendrá sentido hacer la inversión
correspondiente para proteger dicha información. Todo plan de aministración de riesgos es distinto porque
cada compañía tiene justamente sus propias características, presupuesto, y mano de obra para ser utilizada
en la administración de riesgos. De seguro estas preguntas le ayudaran mucho...

10
 Introducción a la Seguridad Informática

• ¿Que información necesita ser asegurada?

• ¿Cual es el valor de la información?
• ¿Cuales son las oportunidades en que la información pueda estar comprometida?
• ¿De que manera la información es accesada?
• ¿Que tantas personas acceden a la información?
• ¿Es la información fácil de asegurar?

Indistintamente si decide mitigar un riesgo, deberá identificar tantos riesgos potenciales como sea posible
y desarrollar un plan de mitigación que comprenda cada uno de ellos. Cuando los riesgos son identificados
y se les asigna un costo (en tiempo y dinero) para asegurar la información, puede ser comparado con el
valor de la información para determinar que medidas de seguridad son razonables. Para toda situación, la
administración de riesgos y el tratado de los mismos será diferente. Basándose en el ejemplo de la fábrica
de refrescos, podrá identificar lo siguiente:

• El valor de la fórmula es de 10 millardos de Bs porque justamente es el volumen de ganancias anuales.

• El riesgo que la competencia pueda obtener la fórmula.
• La amenaza de que alguien de afuera pueda localizar y apoderarse de la fórmula, o que un empleado
pueda hacer llegarla a la competencia indistintamente si la vende o la obsequia.
• Las vulnerabilidades de que la fórmula esté almacenada en cinco ubicaciones diferentes y que un gran
número de personas tenga acceso a la misma.
• Para atenuar los riesgos, la fórmula puede resguardarse en un solo lugar y de hecho inaccesible, pero
esto resulta impráctico. Un mejor plan de mitigación, sería reducir el número de copias de la fórmula
de 5 ubicaciones distintas a 3, así como limitar el acceso a 25 personas con su respectivo registro.
• Inclusive podría no haber pensado en limitar el acceso a la zona donde se utiliza la fórmula para elaborar
el producto, a través de una lista de las personas que pueden tener acceso, y adicionalmente incorporar
un método de autenticación para los mismos. Estos son probablemente amenazas significativas adi-
cionales, vulnerabilidades y riesgos que deben ser consideradas para poder atenuarlas. Identificarlas
tanto como sean posibles, son tareas de un buen especialista de seguridad.

12. Ataques a la Seguridad

Una forma útil de clasificar los ataques a la seguridad, empleada en la recomendación X.800 y RFC 2828,
es la distinción entre ataques pasivos y ataques activos. Un ataque pasivo intenta conocer o hacer uso
de información del sistema, pero no afecta a los recursos del mismo. Un ataque activo, por el contrario,
intenta alterar los recursos del sistema o afectar a su funcionamiento.
Ataques Pasivos. Se dan en forma de escucha o de observación no autorizadas de las transmisiones. El
objetivo del oponente es obtener información que se esté transmitiendo. Dos tipos de ataques pasivos son
la obtención de contenidos de mensajes y el análisis de tráfico.

11
 Introducción a la Seguridad Informática

La obtención de contenidos de mensajes, por lo general circunstancias como una conversación telefónica,
un mensaje de correo electrónico o un archivo que se transmite por la red pueden contener infomación
confidencial. Lo que se trata de evitar es que un oponente conozca los contenidos de esas transmisiones.

El análisis de tráfico, es más sutil, en el supuesto que hemos enmascarado los contenidos de los mensajes u
otro tráfico de información de forma que el oponente, a pesar de que halla capturado el mensaje, no pueda
extraer la información que contiene. La técnica más común para enmascarar los contenidos es el cifrado,
inclusive con la información cifrada, un oponente podría observar el patrón de los mensajes, determinar
la localización e identidad de los servidores que se comunican y descubrir la frecuencia, tanto la longitud
de los mensajes que se están intercambiando. Esta información puede ser útil para averiguar la naturaleza
de la comunicación que está teniendo lugar.

Los ataques pasivos son muy difíciles de detectar ya que no implican alteraciones en los datos. Normal-
mente, el mensaje se envía y se recibe de una forma aparentemente normal y ni el emisor ni el receptor
son conscientes de que una tercera persona ha leído los mensajes o ha observado el patrón de tráfico.
Ataques Activos. Implican alguna modificación del flujo de datos o la creación de un flujo falso y se
pueden dividir en cuatro categorías:

• Suplantación de Identidad. Se produce cuando un entidad finge ser otra. Un ataque de este tipo in-
cluyen habitualmente una de las otras formas de ataque activo. Por ejemplo, las secuencias de auten-
tificación pueden ser capturadas y repetidas después de que una secuencia válida haya tenido lugar,
permitiendo así, que una entidad entidad autorizada con pocos privilegios obtenga privilegios extras,
haciéndose pasar por la entidad que realmente los posee.
• La repetición. Implica la captura pasiva de una unidad de datos y su retransmisión posterior para
producir un efecto no autorizado.
• La modificación de mensajes. Significa que una parte de un mensaje original es alterada, o que los
mensajes se hjan retrasado o reordenado, para producir un efecto no autorizado. Por ejemplo, el mensaje
"Permitir a Carlos Pérez que lea las cuentas de archivos confidenciales" se modifica por: "Permitir a
Luis García que lea las cuentas de archivos confidenciales"
• La Interrupción de servicio. impide el uso o la gestión normal de las utilidades de comunicación.
Este ataque podría tener un objetivo específico, donde una entidad podría suprimir todos los mensajes
dirigidios a un destino en particular (por ejemplo el servicio de auditoría de la seguridad). Otra forma
de este tipo de ataque es la interrupción de una red completa, ya sea inhabilitándola o sobrecargándola
con mensajes para reducir el rendimiento.

Notas
1. http://www.gobiernoenlinea.gob.ve/docMgr/sharedfiles/LeyEspecialcontraDelitosInformaticos.pdf

12