You are on page 1of 49

DIPLOMADO EN GESTIÓN INTEGRAL DE RIESGOS (GIR) INTERNACIONAL

SEGURIDAD DE LA INFORMACIÓN

INTRODUCCIÓN

Desde que las organizaciones llegaron a tener un gran flujo de información, el concepto
de “Seguridad en el Computador” ha sido reemplazado por el concepto de Seguridad de
información; ya que este concepto de seguridad de información cubre un amplio número
de variables, desde la protección de datos hasta la protección del Recurso Humano, así,
la protección de la información se convierte en la responsabilidad de cada empleado y
especialmente de los directores de seguridad.

SISTEMAS DE CLASIFICACIÓN DE INFORMACIÓN

Clasificación Gubernamental1

“Daño excepcionalmente Planes de defensa nacional


grave” para la seguridad vitales, nuevas armas,
Máximo Secreto
nacional. “Daño serio” para operaciones importantes de
la seguridad nacional. inteligencia.

Planes militares
“Daño serio” para la
Secreto significativos u operaciones
seguridad nacional.
de inteligencia.

Poder de las fuerzas,


“Daño identificable” para la
Confidencial características de efecto de
seguridad nacional.
municiones.

Clasificación de Corporación

Nuevos procesos de
Controles Especiales Supervivencia en peligro. producción; fórmulas o
recetas secretas.

Procesos, listas de clientes;


Confidencial Compañía Daños serios. depende del valor del
negocio.

Daños identificables o que Datos del personal,


Confidencial Privado
pueden causar problemas. valoración de precios.

DEFINICIONES DE INFORMACIÓN SENSIBLE


1
Clasificado por el Departamento de Defensa de los EEUU en Industrial Security Manual for Safeguarding Classified
Information (Washington, DC; US Government Printing Office, 1989), pags. 6-16.
DIPLOMADO EN GESTIÓN INTEGRAL DE RIESGOS (GIR) INTERNACIONAL

INFORMACIÓN PROPIETARIA

Es la información sobre la que el poseedor declara su propiedad y la que está relacionada


a las actividades o estado del poseedor de alguna manera especial.

La ley común ha utilizado dos enfoques en el manejo de la información propietaria:

 El "concepto de propiedad" que entiende que la información tiene un valor


independiente en caso de equivalga a un secreto comercial.

 La imposición de obligaciones o deberes a otras personas, distintas al propietario,


a no utilizar o divulgar información sin el consentimiento del propietario. Este
enfoque trata a estos individuos como fiduciarios por cuanto ellos ocupan una
posición especial de confianza y confiabilidad.

La información propietaria es la información de valor adquirido o confiado a una


compañía, que se refiere a la operación de ésta y que no ha sido públicamente revelado.

Un secreto comercial es parte de la información propietaria de la empresa, pero no toda la


información propietaria corresponde o necesariamente reunirá las condiciones para
definirla como "secreto comercial".

Existen 3 amplias amenazas para la información propietaria:

1. Puede perderse a través de revelación accidental o divulgación inadvertida.


2. Puede ser robada deliberadamente por un extraño.
3. Puede ser robada deliberadamente por un empleado.

Algunos de los derechos contemplados en la ley para proteger la información de


propiedad en el derecho consuetudinario son:

 Derecho para demandar por daños y perjuicios, pérdida o destrucción.


 Derecho para recuperar las ganancias según la teoría de la equidad del
"enriquecimiento injusto".
 Derecho para restringir a otros del uso de la propiedad.

SECRETO COMERCIAL

Es la información que incluye una fórmula, patrón, recopilación, programa, mecanismo,


método, técnicas o procesos que:

 Provienen de un valor independiente, actual o potencial que no se conoce


generalmente, y no es comparable por los medios adecuados, otras personas que
puedan obtener un valor económico por su difusión o uso, y,

 Es el resultado de esfuerzos que razonablemente exigen su seguridad.


DIPLOMADO EN GESTIÓN INTEGRAL DE RIESGOS (GIR) INTERNACIONAL

"Un secreto comercial es un proceso o


mecanismo para el uso continuo en la
operación de un negocio”.

Por lo general, un secreto comercial se


relaciona con la producción de productos; por
ejemplo, una máquina o fórmula para la
producción de un artículo. También puede
relacionarse con las operaciones en los
negocios tales como: un código para
determinar descuentos y rebajas, así como
también, una lista de clientes o métodos de
contabilidad.

Los elementos básicos de un secreto comercial son:

•1 Debe ser secreto. No debe ser conocido por terceros.


•2 Debe proporcionar un valor o ventaja independiente.
•3 Debe existir un esfuerzo continuo o consecuente para mantener el secreto.

Para un secreto comercial establecido, el propietario puede dar su protección a través del
estado "fiduciario" de difusor o a través de un acuerdo con el revelador.

Se requiere un nivel mucho más alto de originalidad que de una patente. Un secreto
comercial se mantiene como tal en tanto que éste continúe cumpliendo con las pruebas
del secreto comercial.

Los secretos comerciales son objetivos. La amenaza interna más grave para los secretos
comerciales es el empleado. Si la información es obtenida malamente por una persona
que después la difunde de manera tal que otros se beneficien con el conocimiento sin
estar informados que ésta eso fue un secreto de alguien distinto, el malicioso es el único
en contra de quien el propietario puede apelar. Una vez que la información cae en manos
de terceras personas inocentes sin conocimiento de su naturaleza secreta, es
normalmente se pierde.

Sin embargo, si la información involucrada es un secreto comercial y las personas a


quien se les reveló son pocas y son notificadas de la existencia del secreto comercial
antes que ellos cambien sus posiciones, entonces el secreto comercial aún podría
protegerse.

Es importante para los empleados saber si la información sensible está estrictamente


definida como un secreto comercial, donde el empleador puede proteger la amenaza de
difusión de secreto por medio del embargo. Si no es un secreto comercial, el recurso es
por daños después de su difusión y para recuperarlo, es necesario, mostrar el daño real
provocado.

Antes de establecer un pleito con respecto a secretos comerciales que involucren ex-
trabajadores empleados por la competencia, las siguientes amenazas posibles deben ser
consideradas:
DIPLOMADO EN GESTIÓN INTEGRAL DE RIESGOS (GIR) INTERNACIONAL

• El propietario puede verse obligado a exponer el secreto mismo que está tratando
de proteger.
• Es costo puede ser muy alto.
• El propietario del secreto comercial puede perder el caso legal.

Al reconocer que la amenaza interna más graves para los secretos comerciales son los
empleados, la medida de protección comúnmente se obtiene a través de un acuerdo con
los empleados sobre patentes y secretos.

Los siguientes no son secretos comerciales:

•1 Información salarial
•2 Estudios de cargo
•3 Evaluación del uso de clientes.
•4 Márgenes de rentabilidad.
•5 Costos unitarios

PATENTE

Es una concesión gubernamental que expresa y asegura el derecho exclusivo para hacer,
usar y vender un invento durante un período de 17 años.

Una patente es la concesión dada por el gobierno al inventor, asegurándole el uso


exclusivo y el derecho a usar y vender su invento durante un período de tiempo.

Cualquier persona puede comprar una patente, no hay objetivos de espionaje industrial en
un invento patentado.

Requisitos para obtener patente

• Debe ser una invención novedosa y útil, su contribución debe ir más allá de la
habilidad del promedio.
• Nivel más alto de originalidad que el secreto comercial.
• Cualquiera puede comprar una patente, no es objetivo espionaje industrial.

INFORMACIÓN QUE REQUIERE PROTECCIÓN

Cualquier información involucrada en los siguientes 2 procesos, se considera un activo


valioso que requiere protección.

• Producción de bienes y servicios.

• Comercialización, localización y retención de clientes.

Algunos tipos de información que generalmente requieren protección en empresas


comerciales e industrias son:

Información básica de fabricación.


DIPLOMADO EN GESTIÓN INTEGRAL DE RIESGOS (GIR) INTERNACIONAL

Manuales de diseños.
Instrucciones de funcionamiento de la planta.
Resultados de pruebas de planta.
Informes de producción.
Especificaciones de la materia prima.
Diseños de Productos.
Datos de ingeniería Informes secretos.
Secretos comerciales Patentes
Mapas de exploración petrolero y minero.
Fusión de compañías.
Información de contratos.
Reportes financieros.
Registros de impuestos.
Portes de ventas.
Listas de correo.
Información de clientes.
Registros personales.
Programas de computador.
Estrategias de prevención de pérdidas

La Información privada de un individuo requiere protección (está protegida por leyes):

•1 Registro de Crédito
•2 Registros médicos
•3 Registros educacionales

AMENAZAS CONTRA LA INFORMACIÓN

EL ESPIONAJE INDUSTRIAL

Es más peligroso que la divulgación inadvertida de información, por cuanto persigue la


información más valiosa y con la cual se podría hacer mayor daño a la empresa, esta
información se puede obtener a través de medios legales, o ilegales con el robo interno,
robo externo o la combinación de los dos que se conoce como conspiración.

Amenazas externas de espionaje industrial:

 Los operativos encubiertos.


 Intervención de las conexiones telefónicas.
 Micrófonos y otros mecanismos de escucha.
 Entradas ilegales.
 Manejo de la basura. (basurología, buceo de basuras)
 Visitas.
 Clientes.
 Subcontratistas.

Un programa de protección de información sensible para evitar el espionaje debería


incluir:
DIPLOMADO EN GESTIÓN INTEGRAL DE RIESGOS (GIR) INTERNACIONAL

 Una política clara y de procedimientos por parte de la Gerencia Corporativa, en


cuanto a cómo debe clasificarse y manejarse la información sensible.
 Evaluación de la vulnerabilidad de la información crítica.
 Procedimientos para controlar la distribución de información. Manuales escritos
para empleados que incluyan comunicaciones de contacto con extraños.
 Selección previa al empleo. (Antecedentes, habilidades, drogas, juego).

 Programas de educación de seguridad. Cuidado de revelar información (secretos


comerciales), en: Discursos, reuniones de empresa, congresos, ferias, reporteros,
papel carbón, artes de material gráfico.
 Uso de acuerdos de no revelar información. Los empleados deben firmar
compromisos de mantenimiento de secretos comerciales y de restricciones de
patentes.
 Medidas de seguridad física.
 Un monitoreo continuo de las actividades de rutina para detectar las publicaciones
de la información sensible.
 Sistema de auditorías regulares y las inspecciones internas.
 Destrucción supervisada de basura y desperdicios.
 Creación de barridos de contramedida electrónicas.
 Controles para disminuir el acceso a la información sensible.

Ejemplos de espionaje

Avisos de empleos que no existen (Para obtener información de la competencia en


entrevistas) Fuga de información en discursos, publicaciones, empleados inconformes,
consultores, en monitoreo de líneas.

Los objetivos del espionaje

El propio mejoramiento.

Obtener superioridad. En negocios y gobiernos.

Si la empresa tiene un contrato DOD, debe usar la clasificación oficial en la información


(Deben ir visiblemente marcados en la parte superior e inferior de cada página con la
clasificación), además de observar los requerimientos en la seguridad física.

Contramedidas para evitar el espionaje

 Patentar fallas en los procesos


 En el correo interno utilizar sistema de tubo neumático
 Las fotocopiadoras deben estar alejadas de los sitios de información sensible
 Utilizar destructores y desintegradores de papel
 Firmar compromisos o acuerdos con los empleados
 Utilizar microfilmación
 Medidas de seguridad física
 Inspecciones y auditorias periódicas
DIPLOMADO EN GESTIÓN INTEGRAL DE RIESGOS (GIR) INTERNACIONAL

 Barridos electrónicos después de horas laborables


 Inspección con detector de uniones no lineales (Detecta transmisores o pequeños
micrófonos apagados o dañados)
 Utilizar analizador telefónico
 Utilizar aparatos para probar transmisores sin micrófonos
 Utilizar blindaje o aislamiento acústico electrónico que evita las salidas de onda de
radio. Malla de cobre llamada la jaula de Faraday.
 Utilizar encriptadores
 Utilizar el seguro como la última estrategia en la lista de defensas

Nota: Para los casos de escucha furtiva en Estados Unidos se impone cinco años de
prisión y diez mil dólares de multa.

VIGILANCIA ACUSTICA

Con transmisores FM o micrófonos, transmiten sonidos sin alambre a un radio, a varios


pies de distancia, se utiliza para conferencias y para monitoreo de bebés Microchip,
transmisores pequeños Los hay operados por energía solar o por radio transmisores
locales. Dispositivo portador de corriente transmisora (Se ubican en la toma interruptora
de corriente alterna).

Vigilancia en Teléfonos

Por intervención directa, van empalmados a la línea telefónica y conectados a una


grabadora, al seguir los cables se puede detectar, en la transmisión no se detecta

Intervención inalámbrica, utiliza un transmisor FM, similar a un micrófono, utiliza como


receptor una grabadora o radio común en la misma frecuencia FM. (Puede ser detectado
con equipo especial)

Variación de switch de colgado (circunvalación), en donde el auricular se convierte en un


micrófono.

Tácticas y equipos para la escucha subrepticia, furtiva o a escondidas:

 Hoy en día, el término "escucha a escondidas" incluye dos tipos:

• Intervención física de las líneas (wiretapping)


• Intervención electrónica (Bugging)

 "Escuchar a escondidas a través de la intervención física de las líneas" es la


intercepción de las comunicaciones por medio de un alambre, sin el
consentimiento de los afectados, y requiere del acceso físico al circuito de
comunicaciones.

 La escucha electrónica (Bugging) es la interceptación de la comunicación sin el


consentimiento de los afectados, por medio de elementos electrónicos - sin
penetración física de una línea.
DIPLOMADO EN GESTIÓN INTEGRAL DE RIESGOS (GIR) INTERNACIONAL

 Un lápiz registrador (pen register) o "la grabación del número marcado", es un


mecanismo utilizado para monitorear las llamas telefónicas a través de un
dispositivo que registra los números marcados desde un teléfono en particular.
Proporciona la fecha y la hora en que se hizo la llamada.

 Micrófonos de cable.

a. Micrófono de carbón. Generalmente se utiliza en un auricular telefónico


estándar.

b. Micrófono de cristal. Produce una pequeña corriente eléctrica cuando el


cristal vibra a causa de las ondas de sonido.

 Micrófono de contacto -instalado en una muralla colindante con el área


objetivo.
 Micrófono de punta (spike)- instalado dentro de un orificio en la muralla
colindante. (Sin traspasar).
 Micrófono dinámico- movimiento de un pequeño cable cerca de un
magneto estable que convierte el sonido en energía. Es un buen
mecanismo de interceptación que funciona como un altoparlante en
reversa.
 Dispositivo de cavidad neumática -tiene una pequeña cavidad diseñada
especialmente que capta las vibraciones de la superficie (efecto del
seguro de vidrio).
 Micrófono condensador- usa una alta fidelidad. Es frágil y sensible.
 Micrófono Electret-se utiliza principalmente en la amplificación (PA) y en
la grabación de audio. Es muy pequeño.
 Micrófono omnidireccional- se utiliza en conferencias. Recoge el sonido
desde muchas direcciones alrededor de la habitación.
 Micrófono cardiode- recoge el sonido directamente desde el frente del
micrófono.
 Micrófono parabólico-recoge la energía del audio y la dirige al micrófono
convencional en el centro del reflector parabólico.
 Micrófono de pistola-es un arreglo abultado de tubos que recogen el
sonido y lo envían al micrófono conectado a los tubos.

 Micrófonos inalámbricos (mecanismo de radio frecuencia RF). Consta de un


micrófono, un transmisor, un abastecimiento de energía, una antena y un receptor.

 Mecanismo transportador de corriente. Transportan las señales de la radio sobre


virtualmente todo el sistema inalámbrico. (Ej. Sistema de intercomunicación
inalámbrico en la casa). La señal generalmente es bloqueada por transformadores
de poder.

 Transformación de la luz. El haz del láser orientado al plano de la ventana. La


vibración del vidrio produce una modulación reflejada en el haz láser (visión lineal).

 Radiaciones electromagnéticas. La energía electromagnética detéctale es


generada por mecanismos que procesan la información electrónica. La detección
DIPLOMADO EN GESTIÓN INTEGRAL DE RIESGOS (GIR) INTERNACIONAL

es posible a varios cientos de pies. La caja "faraday" se utiliza para los equipos
muy sensibles (a base de cobre).

 Intervención telefónica.

a. Intervención de la línea telefónica. La información adquirida incluye voces,


facsímiles, teletipos o información. Los dos métodos más comunes son:

• La conexión física directa en cualquier parte de la línea, entre el área


objetivo y la central telefónica.
• Es el acoplamiento inductivo que no necesita una conexión física
(Aparatos sobre el strep telefónico).

b. El uso del equipo telefónico en el área objetivo, requiere el acceso físico al


área.

• La alteración del alambrado del teléfono necesita conocimiento técnico.


• Instalación subrepticia del radio transmisor.
• Transmisor infinito. Se puede acceder a él usando cualquier otro teléfono.
No se utiliza en centrales telefónicas conmutadas.

Contramedidas para las intervenciones electrónicas.

a. Barreras de sonido.

• Las divisiones, pisos y cielos utilizan material no poroso y de


construcción áspera.
• Las puertas y ventanas. Ventanas de doble vidrio con cortinas. Poner
parlantes sólidos.

b. Búsqueda física. Es detallada, requiere de mucho tiempo y es cara. Se lleva a


cabo sólo en áreas específicas. Requerida para un estudio completo de
contramedidas.

• Todo el mobiliario y equipos es retirado y examinado.


• Los tableros son examinados para buscar signos de modificación.
• Los muros son examinados en detalle, en busca de perforaciones
disparidad de la pintura o existencia de yeso nuevo.
• Todo el cableado es rastreado y registrado (se retira aquel sin uso).
• Los interruptores de luz y las salidas de corrientes son retirados y
examinados.
• Se retiran las cubiertas de los conductos de la ventilación para revisarlos.
• Debe examinarse el espacio sobre el cielo falso.

c. Revisión telefónica. Efectuados por técnicos familiarizados con equipos


específicos.

• Los auriculares son inspeccionados para detectar transmisores o


alteraciones en su alambrado.
DIPLOMADO EN GESTIÓN INTEGRAL DE RIESGOS (GIR) INTERNACIONAL

• Todos los cables son revisados para detectar alteraciones o equipos


insertos.
• Las cajas de empalme y las cajas donde se encuentran los cables, deben
ser examinados y las conexiones verificadas.
• Deben verificarse los cables de distribución del teléfono por toda la
habitación.

d. Búsqueda electrónica. Ningún mecanismo distante o técnicas pueden


garantizar el hallazgo de un mecanismo bien instalado por técnicos
experimentados.

• Reflectómetro, Analizador telefónico, Medidor del campo, Receptor de


contramedidas, Analizador de espectro, Detector de metales. No es muy
confiable.

e. Camuflaje o enmascaramiento del audio. Es la creación de un sonido en el


perímetro de área segura para cubrir o camuflar la conversación. No se utiliza
música, el ruido no es fácil de filtrar en la cinta.

PIRATERÍA

Es la publicación y distribución ilegal de grabaciones. Hay tres formas:

 Falsificación: grabación no autorizada de sonidos pregrabados, así como la


duplicación no autorizada de trabajos artísticos, etiquetas, marcas registradas y
empaques originales.

 Piratería: duplicación no autorizada de sonidos e imágenes únicamente a partir de


duplicaciones y programas de computación legítimas.

 Grabación ilegal: grabación no autorizada de una producción musical en radio,


televisión o en vivo.

SEGURIDAD DE INFORMACION PRIVADA

Derechos de autor

Los derechos de la propiedad literaria o escrita


son reconocidos y sancionados por las leyes
internacionales, federales y estatales.

Material identificado con el símbolo de autor ©.

Marca registrada

Una marca de autenticidad que identifica un


producto hecho por un fabricante en particular y lo
distingue de todos los demás
DIPLOMADO EN GESTIÓN INTEGRAL DE RIESGOS (GIR) INTERNACIONAL

Productos o servicios identificados por un diseño único de marca registrada o el símbolo


de marca registrada ®.

Recursos legales

 Se reconocen dos conceptos relacionados a la información de propiedad:

• Bajo el concepto de propiedad, la información de secretos comerciales tiene


valor independiente.
• Los fiduciarios o personas que ocupan puestos especiales de confianza,
tienen el deber de no divulgar información de propiedad o usar la
información de propiedad para su propio beneficio sin el consentimiento del
dueño.

 Las dos formas generales de remuneración son:

• Dinero.
• Interdictos.

 Antes de entrar en litigio tome en cuenta que:

• Puede ser un proceso muy costoso.


• El dueño del secreto comercial puede perder el caso en la corte.

 El objetivo es prevenir la pérdida de información

Nota: Para contrarrestar los efectos del espionaje industrial, se promulgo la ley de
espionaje industrial de 1996, esta ley instituyó que es un delito federal que cualquier
persona se apropie indebidamente de un secreto comercial.

GLOSARIO DE TÉRMINOS

Reflectometría: de tiempo: Una fotografía electrónica de una línea de telecomunicaciones


en un momento dado que se compara con la misma línea en otro momento futuro.

Analizador de teléfono: Análisis electrónico del aparato telefónico y la línea para ver si se
ha modificado el cableado o instalado un transmisor de radio.

Metro de fuerza de Campo: Mide la energía de radiofrecuencia relativa presente en un


momento dado. No tan confiable como el radio- receptor de contramedidas

Radio receptor de contramedidas: Busca en un sector amplio del espectro radial para
aislar e identificar una señal.

Analizador de espectro: Muestra un sector amplio del espectro de radio frecuencia y las
bandas correspondientes. Usado en conjunto con el radio receptor de contramedidas para
encontrar todas las señales y dar un análisis visual de la señal.
DIPLOMADO EN GESTIÓN INTEGRAL DE RIESGOS (GIR) INTERNACIONAL

Detector de metales: NO muy confiable

Detector de conexión no lineal: Trasmite una señal de microondas. UN semiconductor re-


irradia el haz a un múltiplo de la frecuencia original. (frecuencias armónicas). Encuentra
un dispositivo semiconductor inactivo. Hoy en día considerado muy confiable.

Amplificación: La reproducción de una señal eléctrica, usualmente a una intensidad


aumentada, y por un dispositivo electrónico.

Amplificador: Un dispositivo que produce una señal eléctrica que es una función del
parámetro de señal de entrada eléctrica correspondiente y aumenta la magnitud de la
señal de entrada por medio de energía obtenida de una fuente externa.

Circuito análogo: Un circuito en el que la señal emitida varia continuamente como función
de la señal de entrada. Dispositivo tipo “boomerang”: Un detector de conexión no lineal
que se usa para localizar dispositivos para escuchar sin autorización. Este detector recibe
señales de microondas de baja potencia con su antena extensible. Cuando un transistor,
diodo y otro semiconductor reciben una señal en un dispositivo clandestino, el
semiconductor irradia o refleja energía llamada frecuencias armónicas.

Banda amplia: Cualquier sistema de comunicaciones capaz de proporcionar múltiples


canales para servicios de vídeo, voz o datos al usuario a través de una amplia banda del
espectro de radiofrecuencia.

Oficina central: Instalación de telecomunicaciones en la que reciben y envían llamadas


telefónicas. Estación de comunicación para el tráfico de llamadas telefónicas.

Circuito: La combinación de un número de dispositivos electrónicos y conductores que,


cuando se conectan para formar una ruta de conducción, cumplen con una función
deseada como amplificación u oscilación.

Circuito digital: Un circuito que responde a valores discretos de voltaje entrante y produce
valores discretos de voltaje.

Diodo: Cualquier dispositivo eléctrico que solamente tiene dos electrodos. Existen mucho
tipos diferentes de diodos, sus voltajes determinan su aplicación.

Filtro: Una red eléctrica que transmite señales con frecuencias dentro de ciertas
frecuencias designadas y suprime las señales de otras frecuencias.
DIPLOMADO EN GESTIÓN INTEGRAL DE RIESGOS (GIR) INTERNACIONAL

ADMINISTRACIÓN DE SEGURIDAD INFORMÁTICA


¿QUÉ ES SEGURIDAD?

 Es la calidad o estado de ser seguros


o estar libre de peligro.

 Ser seguro consiste en estar protegido


de las adversidades u otras
amenazas.

 Mientras cada estrategia posee su


propio enfoque y está construida sobre
su especialización, las diferentes
estrategias comparten muchos
elementos comunes.

 Desde una perspectiva de


administración cada estrategia debe ser apropiadamente planeada, organizada,
dirigida y controlada.

PLANES DE SEGURIDAD DE INFORMACIÓN

Se desarrollan en 3 grupos o comunidades de intereses, quienes trabajan para llegar a un


consenso acerca del plan que proteja los activos en información de la organización:

• Administradores y profesionales en Seguridad de Información. Protege de las


amenazas los activos de información.

• Administradores y profesionales en Tecnologías de Información. Establece


tecnología de información apropiada para las necesidades del negocio.

• Administradores y profesionales en general. Comunican objetivos y políticas de la


organización, y asignan recursos a través del trabajo en equipo.

Desde una perspectiva de Administración cada estrategia debe ser apropiadamente


planeada, organizada, dirigida y controlada. Ejemplos de áreas especializadas de
seguridad que incluyen:

Seguridad Física: Proteger gente. Activos físicos y el lugar de trabajo de varias amenazas.
DIPLOMADO EN GESTIÓN INTEGRAL DE RIESGOS (GIR) INTERNACIONAL

Seguridad Personal: Coincide con la seguridad física con la protección de gente dentro de
la organización.

Seguridad Operacional: Habilidad de la organización para llevar a cabo sus habilidades


operacionales sin interrupción.

Seguridad de las comunicaciones: Protección de los medios de comunicación de la


organización, tecnología y contenido y su habilidad para usar esas herramientas para
alcanzar los objetivos de la organización.

Seguridad de Redes: Protección de las redes de información, correcciones, contenidos y


la habilidad para usar las redes de información.

Cada una de estas áreas contribuye al programa de seguridad de información como un


todo.

Figura 1. Áreas de administración de la


seguridad de información.

La figura 1. muestra que la seguridad de información incluye amplias áreas de


administración de la seguridad de información, programación y seguridad de datos y
redes de seguridad en información. Dentro del corazón de este estudio de seguridad en
información está el concepto de política. Política, conciencia, tecnología, educación y
mantener los sistemas de información alejados de peligro. El triangulo CIA es la base del
modelo CNSS de seguridad de información, este triangulo se sustenta sobre tres
características deseables de la información: CONFIDENCIALIDAD – INTEGRIDAD -
DISPONIBILIDAD

Las amenazas a esas tres características de información han evolucionado dentro de una
vasta colección de peligros potenciales, incluyendo daños accidentales o intencionales,
destrucción, hurto, amenazas humanas y otras amenazas. Frente a este ambiente de
amenazas se ha necesitado el desarrollo de un modelo más robusto:
DIPLOMADO EN GESTIÓN INTEGRAL DE RIESGOS (GIR) INTERNACIONAL

 Triangulo CIA – base del modelo de Seguridad de Información del CNSS.

 CIA: Confidentidity (Confidencialidad), Integrity (Integridad), and Availability


(Disponibilidad) CIA: Son las 3 características críticas deseables de la Información.

CONCEPTOS CLAVES DE SEGURIDAD DE INFORMACIÓN

CONFIDENCIALIDAD

La confidencialidad de la información asegura que solo aquellos con suficientes privilegios


y una demostrada necesidad pueden acceder a cierta información, es un concepto
parecido al de la compartimentación, cada funcionario debe saber únicamente lo
necesario para el efectivo cumplimiento de sus funciones. Para lograr este objetivo se
deberían tener en cuenta, entre otras, las siguientes medidas:

Aplicación de políticas de seguridad: Las políticas son los lineamientos generales,


dictados desde la alta dirección, que formulan los parámetros que debe cumplir la
organización para el logro de los objetivos formulados en la estrategia empresarial.

Clasificación de la Información: Hace referencia a que todo documento realizado en la


organización, debe tener asignado un parámetro de divulgación, en tanto su contenido
sea más o menos sensible para la empresa.

Almacenamiento seguro de documentos: Los lugares donde la información es


almacenada, ya sea en medios físicos o electrónicos, deben ser protegidos físicamente,
para evitar el acceso fraudulento, o sustracción deliberada, así como los daños
producidos por riesgos naturales, accidentales o provocados.

Criptografía: Es el arte de cifrar o codificar la información, en general la información más


sensible debe estar protegida bajo este parámetro.

DISPONIBILIDAD

Esta característica consiste en tener acceso a la información sin interferencia y sin


obstrucción. Un usuario en esta definición consiste en una persona u otro computador.
Disponibilidad no implica que la información sea accesible para cualquier usuario, lo que
significa disponibilidad para usuarios autorizados. Para entender este concepto
completamente, considere los contenidos de una librería, en particular, librerías de
investigación que requieren identificación para acceso a la librería. Así en la librería se
debe presentar la identificación antes de acceder a la colección. Una vez estos patronos
de seguridad conceden el acceso, el cliente podrá localizar y tener acceso a los recursos
en los apropiados lenguajes y formatos.

PRIVACIDAD

La información que es recolectada usada, y almacenada por una organización es usada


solo para los propósitos establecidos por el duelo de la información en el tiempo que fue
recolectada. La definición de privacidad no se enfoca sobre la liberad de observación,
pero quizás se enfoca sobre el uso de la información en formas conocidas para la persona
DIPLOMADO EN GESTIÓN INTEGRAL DE RIESGOS (GIR) INTERNACIONAL

que la provee. Muchas organizaciones recolectan, cambian y venden información


personal con toda comodidad. Es ahora posible recolectar y combinar información desde
diferentes fuentes, la cuáles han producido detalladas bases de datos cuyos datos
podrían ser usados de manera no correcta, o aún no comunicados por el dueño de la
información. Mucha gente no ha llegado a ser consciente de esas prácticas y por lo tanto
están en búsqueda de estrategias para la protección de su privacidad.

IDENTIFICACION

Un sistema de información posee las características de identificación cuando es capaz de


reconocer usuarios individuales. La identificación es el primer paso en conseguir el
acceso para el material seguro, y sirve como soporte para la subsiguiente autenticación y
autorización. La autenticación e identificación son esenciales para estabilizar el nivel de
acceso o autorización que se le concede a un individual. La identificación funciona
típicamente a través de un nombre de usuario o otra ID.

AUTENTICACION

La autenticación ocurre cuando un control da pruebas de que el usuario posee la


identidad que él o ella tiene. Ejemplos incluyen el uso de certificados de criptografía para
estabilizar las conexiones “SSL” o el uso de Hardware en criptografía como tarjetas de
“SECURID” para confirmar la identidad del usuario.

AUTORIZACION

Después de que la identidad del usuario es autenticada, en proceso llamado autorización


la seguridad de que un usuario ha sido específicamente y explícitamente autorizado para
acceder, actualizar o eliminar los contenidos de un activo de información, un ejemplo de
este control es la activación o uso de listas de control de acceso y grupos de autorización
en un ambiente de trabajo en red. Otro ejemplo consiste en una base de datos para
verificar que el usuario de una aplicación es autorizado para funciones específicas
muchas como leer, escribir, crear y eliminar.

CONTABILIDAD

la característica de la contabilidad existe cuando un control la seguridad de que toda


actividad desarrollada e puede atribuir a una persona identificada o un proceso
automatizado. Un programa de seguridad exitoso en información combina elementos
conceptúales que se describen para reducir el riesgo de los activos de información. El arte
de reducir este riesgo requiere comunicación y cooperación entre las 3 comunidades de
interés. En otras palabras asegurar las tecnologías de información puede ser alcanzado
solo a través de la administraron cuidadosa y de la dinámica del liderazgo.

MODELO DE SEGURIDAD NSTISSC

 CNSS: Committee on National Security Sistems. Comité Nacional de Sistemas de


Seguridad.

 NSTISSC: National Security Telecommunications on Information Systems Security


Committe. Modelo de la Seguridad de Información de la CNSS.
DIPLOMADO EN GESTIÓN INTEGRAL DE RIESGOS (GIR) INTERNACIONAL

Componentes de la Seguridad de Información

 La Política (corazón)
 Administración de Seguridad de Información
 Red de trabajo Segura
 Computador y datos seguros

El modelo de tres dimensiones se convierte en un cubo con 27 celdillas como marco de


actuación (Figura 2). A partir de este modelo se puede definir la seguridad de la
información como:

Todas aquellas medidas tecnológicas, de normas y procedimientos y de formación que


aseguran la confidencialidad, integridad y disponibilidad de la información en sus estados
de proceso, almacenamiento y transmisión

Figura 2. Modelo de tres dimensiones.

LA ADMINISTRACIÓN

Es el proceso mediante el cual se alcanzan objetivos, utilizando unos Recursos dados. El


administrador es el que trabaja con y a través de otras personas, coordinando las
acciones de trabajo, con el fin de alcanzar las metas de la organización.

Los principales roles del administrador son:

 Manejo de información: recolectar, procesar y utilizar la información


adecuadamente.
DIPLOMADO EN GESTIÓN INTEGRAL DE RIESGOS (GIR) INTERNACIONAL

 Manejo de relaciones interpersonales: generar las reglas de interacción con los


superiores, subordinados, personal externo y en general con todas las personas
involucradas en los proceso.

 Toma de decisiones: resolver conflictos y seleccionar la mejor alternativa, en la


toma de decisiones.

TEORIA GENERAL DE LA ADMINISTRACION

Figura 3. Teoría general de la administración.

LIDERAZGO

Influenciar a los empleados para lograr objetivos, entre otras cosas provee:

 Propósitos
 Dirección
 Motivación

Características del Líder en el sector Privado:


DIPLOMADO EN GESTIÓN INTEGRAL DE RIESGOS (GIR) INTERNACIONAL

 Honesto
 Integro
 Consciente

LA PLANEACION

En términos generales se conocen tres Niveles de Planeación:

 Estratégica: se produce en el nivel más alto de la organización, para el largo plazo,


y usualmente para cinco o más años.

 Táctica: Se enfoca en la plantación de la producción, es decir desarrollando las


políticas y estrategias, integrando los recursos de la organización, en los niveles
medios. Duración intermedia.

 Operacional: se enfoca en las operaciones del día a día con recursos locales. De
corto plazo.

PLANEANDO PARA LA SEGURIDAD

El éxito de una organización depende de su adecuada planeación y la buena planeación


posibilita que una empresa maneje bien sus recursos

COMPONENTES DE LA PLANEACIÓN ORGANIZACIONAL

Misión

La definición de la Misión explícitamente declara el negocio u objeto social de la


organización y trata sus áreas de operación, es la tarjeta de identificación de la empresa.

El departamento de seguridad de información tiene a cargo identificar, definir y administrar


los riesgos que existen en la información y los sistemas de información de la compañía.

Visión

El segundo componente del ambiente de planeación es la declaración de la Visión. En


contraste con la declaración de la misión, la cual expresa lo que la organización es, la
declaración de la visión expresa lo que la organización quiere llegar a ser.

En otras palabras, la declaración de la visión es el futuro de la organización.

Valores

El tercer componente consiste en la declaración de los valores, la confianza y la lealtad de


los actores y el público es muy importante para una organización. A través de establecer
DIPLOMADO EN GESTIÓN INTEGRAL DE RIESGOS (GIR) INTERNACIONAL

un grupo organizacional de principios, estándares y cualidades en la declaración de los


valores, una empresa llega a tener claros sus patrones de conducta para sus empleados y
el público. Así, una organización con fuertes valores puede ganar gran lealtad desde sus
clientes y empleados.

PLANEACIÓN ESTRATÉGICA

Estrategia o planeación estratégica es la base para el direccionamiento en el largo plazo,


por lo tanto, el plan estratégico guía los esfuerzos y recursos de la organización hacia
específicos y bien definidos objetivos, en medio de un ambiente de cambio.

Los planes estratégicos planteados en los altos niveles de la organización son traducidos
en planes específicos. Esos planes son entonces convertidos en planes tácticos, para
proveer dirección a los planes operacionales.

Después que una organización desarrolla una estrategia general se debe crear un plan
estratégico a través del cual convierte la estrategia general en planes estratégicos
específicos para las demás divisiones. Cada nivel de cada división traduce esos objetivos
en objetivos específicos para el nivel posterior.

Por ejemplo un CEO puede desarrollar la siguiente declaración de la estrategia: “Proveer


el nivel más alto de calidad en el servicio de cuidado de la salud en la industria”.

Por ejemplo, el jefe de información CIO puede traducir la declaración anterior en


declaraciones específicas: “Proveer un nivel superior en el servicio de información que
soporte la alta calidad del servicio del cuidado de la salud”.

Para el oficial en jefe de la seguridad de información “CISO”, la estrategia se traduce en:


“Asegurar que los servicios de información se provean seguramente y de conformidad con
el procesamiento de la información, seguridad de la información y estatutos de
privacidad”.

La planeación táctica posee un enfoque de corto plazo, usualmente de 1 a 3 años. Esta


transforma el objetivo general en series de objetivos. Cada objetivo debe cumplirse en 1
año. Presupuestar, asignar recursos y mano de obra son componentes críticos de un
plan táctico. El CISO y los administradores de seguridad usan el plan táctico para
organizar, priorizar y adquirir recursos necesarios para cada proyecto y proveer soporte
para el plan estratégico.

PROFESIONALES ENVUELTOS EN LA SEGURIDAD DE LA INFORMACIÓN

Oficial en jefe de información (CIO): es el oficial senior en tecnología responsable de


alinear los esfuerzos estratégicos de la organización dentro de planes de acción para los
sistemas de información o datos procesados de la organización.
DIPLOMADO EN GESTIÓN INTEGRAL DE RIESGOS (GIR) INTERNACIONAL

Oficial en jefe de seguridad de información: algunas veces llamado Gerente de Seguridad,


Director de Seguridad, y es el responsable de definir, administrar e implementar la
seguridad de la información en la organización.

Directores de seguridad: son los responsables de asegurar las operaciones del día a día
del programa de seguridad de información, cumpliendo los objetivos identificados por el
CISO y resolviendo situaciones identificadas por los técnicos.

Técnicos en seguridad: personas calificadas para desarrollar sistemas de detección de


intrusos, implementar software de seguridad, diagnosticar problemas, y coordinar con los
sistemas y redes que la tecnología en seguridad sea implementada apropiadamente.

Dueños de Datos: son los responsables por la seguridad y el uso de grupos particulares
de información.

Guardianes de Datos: tratan directamente con los poseedores de la información y son


responsables del almacenamiento, mantenimiento y protección de la información.

Usuarios de Datos: son sistemas de usuarios quienes trabajan con la información para
desarrollar diariamente sus trabajos, soportando la misión de la organización. Cada uno
en la organización es responsable de la seguridad de los datos, así los usuarios de datos
son incluidos con un rol específico en la seguridad de la información.

PLAN DE CONTINGENCIA

Es un proceso de preparación para un evento inesperado es llamado Plan de


contingencia (CP).

CP es el proceso por el cual la tecnología de información y seguridad de información se


prepara para detectar, reaccionar y recuperarse de eventos que amenazan los recursos y
activos de información de una empresa, sean humanos o naturales.

Plan de respuesta a incidentes: (IRP) Es el conjunto de procesos y procedimientos, que


sirven para anticipar, detectar y mitigar, los efectos de los eventos inesperados que
pueden afectar los recursos de información o sus activos. Un evento inesperado se
denomina incidente, y este se presenta cuando hay un ataque (de origen natural o
humano) contra los activos de información, causando interrupción y daño potencial o
actual. El IRP debe ser cuidadosamente planeado y coordinado, por cuanto su rapidez y
eficiencia debe soportar buena parte del peso de la organización.

Plan de recuperación de desastre: Es importante tener en cuenta, que una situación sería
el incidente que detectado por el IRP, y otra muy diferente el incidente que se presenta de
manera súbita. Este plan debe contener información no solo para los riesgos producidos
por el hambre, sino también por los riesgos naturales, que pueden ser devastadores.

Plan de continuidad del negocio: La primera actividad de este, se debe focalizar en la


forma y el lugar para restablecer la operación alterna de los bienes informativos, para que
el negocio no pare. La identificación de las funciones criticas del negocio y los recursos
que los soportan, son la principal actividad de este grupo.
DIPLOMADO EN GESTIÓN INTEGRAL DE RIESGOS (GIR) INTERNACIONAL

POLITICA DE SEGURIDAD DE LA INFORMACIÓN

El éxito de cualquier programa de seguridad de la información descansa en el desarrollo


de la política. En 1989 el instituto nacional de estándares y tecnología (NIST) dirección
este punto en una publicación especial SP-500-169, guía ejecutiva para la protección de
los recursos de información.

El éxito de un programa en protección de los recursos de información depende de la


política generada y de la actitud de la administración hacia la seguridad de la información
sobre los sistemas automatizados.

DESARROLLO DE LA POLITICA

DESARROLLANDO EL PROGRAMA DE SEGURIDAD

VARIABLES QUE DETERMINAN LA ESTRUCTURA DEL ISP

 Cultura organizacional: El ISP no puede ser contrario a la misión de la


organización, como tampoco puede ir en detrimento de la productividad.

 Tamaño de la organización: Las organizaciones con una compleja estructura de IT,


necesitan un mayor soporte en seguridad informática.

 Presupuesto asignado al personal de seguridad: El tamaño del presupuesto para


el ISP, es directamente proporcional al tamaño de la organización.
DIPLOMADO EN GESTIÓN INTEGRAL DE RIESGOS (GIR) INTERNACIONAL

 Presupuesto aplicado a capital (seg. Info.): Instalaciones, oficinas, etc. Toda vez
que el personal de ISP, maneja información confidencial, la infraestructura física
de ser apropiada.

FUNCIONES QUE DEBE IMPLEMENTAR EL ISP

Evaluación de riesgos: Evaluara los riesgos a los que están expuestos los sistemas y los
recursos del IT.

Administración de riesgos: Implementación de las medidas para reducir el riesgo.

Pruebas a los sistemas: Evaluación del nivel de protección del software, y las pruebas a
los nuevos sistemas.

Políticas: Mantener y promover la política de seguridad informática.

Análisis legal: Tener conocimiento del entorno legal, normas aplicables y la coordinación
con las agencias de seguridades estatales y privadas.

Respuesta a incidentes: Procedimientos de respuesta, los cuales deben ser rápidos y


coordinados.

Planeación: Investigación, creación, mantenimiento, y promoción del ISP, haciendo que


sean coincidentes con la planeación estratégica de la organización.

Medición: Realizar un constante monitoreo del ambiente, para determinar los cambios que
sufra con relación al ISP.

Flexibilidad: Identificar las vulnerabilidades pronta y eficazmente.

Autoridad centralizada: Para manejar lo relacionado a la asignación y revocación de los


permisos de acceso a los sistemas.

Administración del sistema de seguridad: Adecuada administración de los sistemas de


seguridad

Entrenamiento: Del personal en general sobre las generalidades del ISP, al personal de IT
en técnicas especializadas, y al personal del ISP en técnicas especializadas de protección
y en las de carácter administrativo.

Administración de redes: Manejo lógico de las redes de trabajo.

Evaluación de vulnerabilidades: determinar la exposición de los activos (info.), Antes que


estas sean explotadas.

COLOCACION DEL ISP DENTRO DE LA ORGANIZACION


DIPLOMADO EN GESTIÓN INTEGRAL DE RIESGOS (GIR) INTERNACIONAL

• Dentro del Depto. IT: Es el más común y recomendable, por cuanto el CIO
entenderá los problemas del CISO, además que este se encontrara a solo un paso
del CEO.
• Dentro del Depto. de seguridad: Es común pero no el más recomendable, presenta
un lado positivo, y es que se desarrolla dentro de un ambiente de seguridad, pero
deja mucho espacio con el CEO, además desde el punto de vista de su filosofía,
las medidas de seguridad física y las de info. son diferentes.
• Depto. Administrativo.
• Depto. Administración de riesgos.
• Depto. Planeación.
• Depto. Legal.
• Depto. Auditoria.

CARGOS EN EL ISP

 CISO
 Administradores de seguridad
 Técnicos en seguridad informática
 Consultores en seguridad informática
 Investigadores

IMPLEMENTACION DEL PROGRAMA DE EDUCACION, ENTRENAMIENTO Y


CONCIENCIA DE SEGURIDAD INFORMATICA.

SETA (Security education, training and awareness program).

Es la principal responsabilidad del CISO, y consiste en reducir los incidentes y atacar las
vulnerabilidades generadas por todos los miembros de la organización (empleados,
contratistas, consultores, etc) que estén en contacto real o potencial con los activos de
info.

 Educación en seguridad
 Entrenamiento en seguridad
 Conciencia de seguridad

MODELOS Y PRACTICAS DE ADMINITRACION DE SEGURIDAD INFORMATICA

Existen muchos modelos y estándares para la implementación y administración de los


sistemas de protección De la información, mencionaremos algunos de ellos.

 BS 7799: 1, (ISO 17799: 2002 Standard) Código de prácticas en administración de


seguridad de la información, estándares y buenas prácticas en IT.

 BS 7799: 2, Administración de la seguridad de la información, Especificaciones y


guías para el usuario.
DIPLOMADO EN GESTIÓN INTEGRAL DE RIESGOS (GIR) INTERNACIONAL

 El modelo de seguridad de la NIST, comprende varios capítulos:

NIST SP 800-12: Manual de seguridad en el computador



NIST SP 800-14: practicas y principios de seguridad generalmente

aceptados
 NIST SP 800-18: Guisa para el desarrollo de los planes de seguridad
 NIST SP 800-26: Guía para la valoración de riesgos en IT
 NIST SP 800-30: Administración de riesgos en IT
 NIST SP 800-37: Guía para las certificaciones de la “Federal information
technology systems”.
 RFC2196, Manual de seguridad informática.

 VISA, USA, Programa de seguridad para tarjeta habientes.

ADMINISTRACIÓN DE LOS RIESGOS

IDENTIFACACION Y ANALISIS DE LOS RIESGOS

El primer paso consiste en conocerse a sí mismo y conocer a su enemigo, por lo tanto la


identificación de los riesgos y los posibles ataques es una tarea fundamental, los pasos a
seguir serán:

• Identificación de los riesgos. Tipos de riesgos


• Evaluación de las medidas de control
• Adquisición e instalación de las medidas de control seleccionadas
• Verificación de la efectividad de las medidas
• Evolución de los riesgos
• Registro de análisis de los resultados del programa.

RIEGOS GENERICOS DE IT

 Accidentales
• Actos de la naturaleza
• Fallas
• Errores y omisiones

 Intencionales
• Fraudes
• Daño intencional
• Invasión a la privacidad
• Virus informáticos

Qué se debe conocer

 Agentes de daño
DIPLOMADO EN GESTIÓN INTEGRAL DE RIESGOS (GIR) INTERNACIONAL

• Errores Humanos
 Impericia del usuario y del programador
 Intrusos en el sistema

• Fallas de Hardware / instalación

Conductas a seguir

 Mantenimiento preventivo del Hardware


 Políticas de respaldo de la información (Backup)
 Medidas de prevención contra virus

VALORACIÓN Y CONTROL DE LOS RIESGOS

Las estrategias de control de los riesgos genéricamente son:

 Evitar: Consiste en alejarse del riesgo en la medida que sea posible, evitando de
esta manera ser afectado.

 Transferir: No poner todos los huevos en la misma canasta.

 Mitigar: manejar el impacto que podría causar el riesgo.

 Asumir: dependiendo los daños que pueda causar el incidente.

MECANISMOS DE PROTECCION

CONTROLES TECNICOS

Son parte esencial de los programas de seguridad, pero no lo son todo se debe
administrar su desarrollo y conocer la tecnología que utilizan:

Confidencialidad Almacenamiento
Integridad Trasmisión
Disponibilidad Procesamiento

PELIGROS Y MODOS DE ATAQUE

a. Sniffing: consiste en husmear los datos que atraviesan la red, sin interferir con
la conexión a la que corresponden, principalmente para obtener passwords, y/o
información confidencial.

 Protección: basta con emplear mecanismos de autenticación y encriptación.


DIPLOMADO EN GESTIÓN INTEGRAL DE RIESGOS (GIR) INTERNACIONAL

b. Barrido de puertos: utilizado para la detección de servicios abiertos en máquina


tanto TCP como UDP (por ejemplo un telnet que no esté en el puerto 23,..).

 Protección: filtrado de puertos permitidos y gestión de logs y alarmas.

c. Bug de fragmentación de paquetes IP multitud de fragmentos pequeños (ej.


ping de la muerte)

 Protección: actualmente en los routers se limita el tráfico , incluso se analiza


la secuencia de fragmentación, o bien parchear el antivirus.

d. Spoofing: intento del atacante por ganar el acceso a un sistema haciéndose


pasar por otro, ejecutado en varios niveles, tanto a nivel MAC (tarjeta de red)
como a nivel IP: ARP Spoofing (que una IP suplantada tenga asociada la MAC
del atacante).

 Ataque: el atacante falsifica paquetes indicando gratuitamente su MAC con


la IP de la máquina suplantada. Los hosts y los switches que escuchan
estos mensajes cambiarán su tabla apuntando al atacante.

e. IP Spoofing (suplanta la IP del atacante).

 Ataque: el atacante debe de estar en la misma LAN que el suplantado, y


modifica su IP en combinación con spoofing, o simplemente “sniffea” todo el
tráfico en modo promiscuo.

f. DNS Spoofing (el nombre del suplantado tenga la IP del atacante), donde el
intruso se hace pasar por un DNS.

 Ataque: el atacante puede entregar o bien información modificada al host, o


bien engañar al DNS local para que registre información en su cache.

g. Ingeniería social: son ataques que aprovechan la buena voluntad de los


usuarios de los sistemas atacados. Un ejemplo de ataque de este tipo es el
siguiente: se envía un correo con el remite a un usuario con el mensaje "por
favor, cambie su password a “informatica". El atacante entonces entra con ese
password. A partir de ahí puede emplear otras técnicas de ataque. O incitando
a ver determinadas páginas web, descargar fotos,...

 Protección: educar a los usuarios acerca de qué tareas no deben realizar


jamás, y qué información no deben suministrar a nadie, salvo al
administrador en persona.

h. Acceso físico: a los recursos del sistema y pudiendo entrar en consola, adquirir
información escrita, etc

 Protección: políticas de seguridad, dejar servidores bajo llave y guardia de


seguridad, tal como se vigila alguna cosa de valor.
DIPLOMADO EN GESTIÓN INTEGRAL DE RIESGOS (GIR) INTERNACIONAL

i. Adivinación de passwords: la mala elección de passwords por parte de los


usuarios permiten que sean fáciles de adivinar (o por fuerza bruta) o bien que
el propio sistema operativo tenga passwords por defecto. Ejemplo: muchos
administradores utilizan de password “administrador” ;-)

 Protección: políticas de seguridad Caballo de Troya: un programa que se


enmascara como algo que no es, normalmente con el propósito de
conseguir acceso a una cuenta o ejecutar comandos con los privilegios de
otro usuario.

 Ataque: el atacante por ejemplo sabotea algún paquete de instalación o


saboteando una máquina, modifica las aplicaciones, p. Ej. “ls”, “ps”,..
 Protección: revisión periódica de compendios, firma digital, comprobación
del sistema de ficheros (ejemplo aplicación “tripware”), etc.

j. Ataques dirigidos por datos: Son ataques que tienen lugar en modo diferido,
sin la participación activa por parte del atacante en el momento en el que se
producen. El atacante se limita a hacer llegar a la víctima una serie de datos
que al ser interpretados (en ocasiones sirve la visualización previa típica de
MS. Windows) ejecutarán el ataque propiamente dicho, como por ejemplo un
virus a través del correo electrónico o código JavaScript maligno.

 Protección: firma digital e información al usuario (lecturas off-line, o en otro servidor


o instalar antivirus en el servidor de correo)

Los mecanismos técnicos de seguridad más poderosos y usados son:

1. Controles de acceso
2. Firewalls
3. Protección Dial-up (marcación o registro)
4. Sistemas de detección de intrusos
5. Herramientas de escaneo y análisis
6. Criptografía

CONTROLES DE ACCESO

Involucran siempre dos procesos:

• Confirmar la identidad de la entidad que acceda a un área física o lógica:


AUTENTICACION.

• Determinar que acciones la entidad puede desarrollar en esa área lógica o física:
AUTORIZACION.

AUTENTICACION

Hay 4 tipos de mecanismos.


DIPLOMADO EN GESTIÓN INTEGRAL DE RIESGOS (GIR) INTERNACIONAL

Algo que usted Sabe: Password (palabra clave o contraseña), Passphrase (frase clave).

Algo que usted Tiene: Tarjetas inteligentes, fichas de criptografía

lgo que usted Es: impresiones dactilares, de palma de mano, fotografía de manos,
escaneo de iris.

Algo que usted Produce: reconocimiento de voz y firma.

Los procesos de autenticación fuertes son aquellos que involucran mínimo dos
mecanismos, los más comunes son los de algo que usted SABE y TIENE, p.ej: el acceso
a cajas fuetes requiere una tarjeta de acceso y un PIN (Numero de Identificación
Personal).

 Algo que usted sabe

Verifican la identidad por un código, un PIN, regularmente son una palabra


clave o contraseña, o frase clave.

• Password (palabra clave, contraseña): es una combinación de


caracteres que solo el usuario conoce, se caracteriza por su grado
de complejidad. Debe ser algo difícil de adivinar, no relacionado
cercanamente a la persona, pej: nombres de parientes, números
telefónicos, etc. Pero debe ser fácil de recordar.

• Passphrase (frase clave): es una frase de lenguaje planeado, es


decir, reglas que construyen una frase que asocia cierta
información, de esto se deriva un password virtual, pej: Hoy Por Mi
Mañana Por Ti, es la frase clave.

 HPMMPT, es la clave virtual.

También por conjunto de reglas: Tres primeras letras del nombre, underscore,
primera letra del apellido paterno, número de hijos, underscore, ciudad de
nacimiento, underscore, últimos tres dígitos del documento de identidad:
car_m3_bog_347, la anterior da mucha información de la identidad del usuario que
puede ser útil.

Algo que usted tiene

Hace uso de una cosa que el sistema o la persona tiene, es el caso de una Dump Car
(tarjeta tonta o simple) que regularmente citan el ID de la persona y bajo un mecanismo
magnético contiene un PIN asignado (a veces encriptado). Otro más usado es una Smart
Card (tarjeta inteligente) contiene un chip que verifica y valida mucha más información
que el solo PIN.

Algo que usted es

Refiere a algo inherente al usuario que se evalúa mediante biométrica (medición de


parámetros físicos biológicos). Algunos métodos son:
DIPLOMADO EN GESTIÓN INTEGRAL DE RIESGOS (GIR) INTERNACIONAL

Impresión dactilar
Escaneo de palma de mano
Geometría de la mano
Topología de la mano
ID de representación de superficie
Reconocimiento facial
Escaneo de retina
Escaneo de iris

Estas técnicas realizan reconocimiento de características de las cuales se toman puntos


de referencia que son digitalizados y almacenados con un formato encriptado, según cada
escaneo, se compara la información obtenida con la almacenada. El problema es que
algunos parámetros físicos pueden cambiar con el tiempo, luego los métodos fiables son:

• Impresión Dactilar
• Retina (patrón de los vasos sanguíneos)
• Iris (patrones aleatorios, vasculares, coronas, pecas, cavidades, criptas)

Al ADN podría incluirse una vez los costos de implementación y el aspecto social lo
permitan.

Algo que usted produce

es el caso de algo que usted desarrolla o hace, en este se encuentra el reconocimiento de


firma, el usuario realiza su firma en un Pad (superficie) y con un bolígrafo especial, que
toma parámetros del trazado. Y se almacena, para luego usarse, el método de
reconocimiento es mejor que el de comparación de firmas pues ciertas cosas varían como
la velocidad al escribir, la edad, fatiga. El reconocimiento de voz digitaliza las formas de
onda análogas capturadas al emitir sonidos, toma una frase común para todos y pide
repetirla cada vez que se quiera acceder, la toma se compara con el patrón almacenado.

AUTORIZACION

Comienza con una entidad autenticada (una persona o un programa), puede ser
manejada en tres formas:

1. Autorización por cada usuario autenticado: se otorga a solo esa entidad


derechos a los recursos para los cuales está autorizado.

2. Autorización a los miembros de un grupo: enlaza entidades autenticadas a un


grupo de usuarios y les concede acceso de acuerdo a un los derechos de
grupo. Es el modo de autorización más común.

3. Autorización a través de múltiples sistemas: una autenticación central y un


sistema de autorización verifican la identidad de la entidad y concede una serie
de credenciales, estas son respetadas por todos los sistemas dentro del
domino de autenticación. También recibe el nombre de SSO single sign-on
(firma sencilla).
DIPLOMADO EN GESTIÓN INTEGRAL DE RIESGOS (GIR) INTERNACIONAL

EVALUACIONES BIOMETRICAS

Dos de los mecanismos de autenticación son considerados biomedibles, algo que usted
ES y que PRODUCE, las tecnologías biométricas se basan en tres criterios:

Tasa de falsos rechazos: es el porcentaje, o tasa en la cual auténticos usuarios son


negados o prevenidos de entrar a áreas autorizadas como resultado de fallas en los
dispositivos de biométrica. Se conoce también como error Tipo I o falsa negativa, no es
considerado un problema de seguridad hasta cuando su nivel es muy elevado.

Tasa de falsas aceptaciones: tasa en la que usuarios fraudulentos o no usuarios


consiguen ingresar por fallas en los dispositivos de biométrica, conocido como error de
Tipo II o falso positivo, constituye una falla muy seria.

CER (crossover error rate) tasa de cruce de error: o tasa de error equitativa, es el punto
en que falsos rechazos y falsas aceptaciones se igualan. Corresponde a un parámetro
que especifican los fabricantes de dispositivos biométricos, entre menor sea su
porcentaje, mejor es.

Aceptación de Biométricas

Debe existir un balance entre la aceptabilidad de un sistema a sus usuarios y la


efectividad del mismo sistema. El implantar un sistema biométrico implica balancear la
efectividad del sistema contra el grado de intrusión percibida y la aceptabilidad de
usuarios. En un sistema la tasa de efectividad es inversa a su aceptabilidad.

ADMINISTRACION DE LOS CONTROLES DE ACCESO

La organización debe contar con una Política de Control de Acceso, con la cual se
determina, como los derechos de acceso son concedidos a entidades y grupos. La política
debe incluir revisiones periódicas de dichos derechos, cambios en ellos cuando los roles
de trabajo cambian, revocaciones de los mismos según sea apropiado.

Clases de redes

 LAN (local area network):

Se refiere a las redes locales de ordenadores.

La LAN más antigua y popular, ARCnet, fue lanzada en 19977por Datapoint y fue
originalmente diseñada para compartir múltiples discos de almacenamiento

La topología define la estructura de una red. La definición de topología puede


dividirse en dos partes. La topología física, que es la disposición real de los cables
(los medios) y la topología lógica, que define la forma en que los hosts acceden a
los medios. Las topologías físicas que se utilizan comúnmente son de bus, de
anillo, en estrella, en estrella extendida, jerárquica y en malla. Estas topologías se
ilustran en el gráfico.

10 metros a 1 kilómetro
DIPLOMADO EN GESTIÓN INTEGRAL DE RIESGOS (GIR) INTERNACIONAL

La topología de bus utiliza un único segmento backbone (longitud del cable) al que
todos los hosts se conectan de forma directa.

La topología de anillo conecta un host con el siguiente y al último host con el


primero. Esto crea un anillo físico de cable.

La topología en estrella conecta todos los cables con un punto central de


concentración. Por lo general, este punto es un hub o un switch, que se describirán
más adelante en este capítulo. La topología en estrella extendida se desarrolla a
partir de la topología en estrella. Esta topología conecta estrellas individuales
conectando los hubs/switches. Esto, como se describe más adelante en este
capítulo, permite extender la longitud y el tamaño de la red.

 Redes MAN (Metropolitan Area Network)

Las redes de área metropolitana: son redes de ordenadores de tamaño superior a


una LAN, soliendo abarcar el tamaño de una ciudad. Son típicas de empresas y
organizaciones que poseen distintas oficinas repartidas en un mismo área
metropolitana, por lo que, en su tamaño máximo, comprenden un área de unos 10
kilómetros.

 Redes WAN (Wide Area Network)

Son construidas para empresas, red área amplia, son construidas por y para una
organización o empresa particular y son de uso privado, otras son construidas por
los proveedores de Internet (Estatal)

Hoy en día Internet proporciona WAN de alta velocidad •Las redes de área amplia
(Wide Area Network) tienen un tamaño superior a una MAN, y consisten en una
colección de host o de redes LAN conectadas por una subred. Esta subred está
formada por una serie de líneas de transmisión interconectadas por medio de
routers, aparatos de red encargados de rutear o dirigir los paquetes hacia la LAN o
host adecuado, enviándose éstos de un router a otro. Su tamaño puede oscilar
entre 100 y 1000 kilómetros.

 Redes Inalámbricas.

Las redes inalámbricas son redes cuyos medios físicos no son cables de cobre de
ningún tipo, lo que las diferencia de las redes anteriores. Están basadas en la
transmisión de datos mediante ondas de radio, microondas, satélites o infrarrojos.

 Redes Internet.

Una internet es una red de redes, vinculadas mediante ruteadores gateways. Un


gateway o pasarela es un computador especial que puede traducir información
entre sistemas con formato de datos diferentes. Su tamaño puede ser desde
10000 kilómetros en adelante, y su ejemplo más claro es Internet, la red de redes
mundial.
DIPLOMADO EN GESTIÓN INTEGRAL DE RIESGOS (GIR) INTERNACIONAL

FIREWALLS

Es algún dispositivo, un sistema de red de computadores separado, un servicio corriendo


en dispositivos electrónicos de redes (Enrutadores: routers, Servidor: server) que previene
que un tipo especifico de información se mueva entre el mundo exterior o una red no
fiable (p. Ej. Internet) y el mundo interior o red confiable (red propia).

Existen diferentes generaciones de Firewalls que se implementan según un tipo de


arquitectura:

FIREWALLS DE FILTRADO DE PAQUETES

La información que viaja por las redes de computadores se divide en Paquetes estos
llevan una información adicional que implica la trayectoria, la fuente y el destino hacia
donde van en la red, esta información existe en un fragmento del paquete llamado Header
o encabezado, los firewalls de filtrado por paquetes descartan o admiten a los mismos
según la información en el encabezado y según la configuración en la base de datos del
dispositivo firewall.

El descarte o admisión de los paquetes puede estar basado en un protocolo de red,


comúnmente el IP (Internet protocol), el cual tiene en cuenta características como:
direcciones de fuente y destino y puertos de servicio para las aplicaciones informáticas,
las acciones a realizar según los parámetros anteriores permiten o no el acceso de los
paquetes, entre otras consideraciones de carácter más técnico.

FIREWALLS DE NIVEL DE APLICACIÓN

Regularmente son un conjunto de computadores separados del primer


enrutador de filtrado y comúnmente actúan en conjunto con un
enrutador de filtrado interno en la red confiable (la del conjunto de
usuarios) que también recibe el nombre de Servidor Proxy, pues actúa
como intermediario o aproximación entre los servicios provenientes
del exterior de la red interna y los servicios de esta.

El servidor Proxy se encontraría en una zona delimitada (DMZ) que


estaría entre la red no confiable (exterior) y la red confiable (interior) y
todas las peticiones de acceso de una red a otra estarían controladas
por él. Cuando ciertos servicios como consultas de páginas web son
accesados con regularidad, esta información puede almacenarse en
los servidores Proxy, estos se conocen como Cache Server, lo que
permite que los usuarios internos obtengan la información de lo que
se grabo en estos.

FIREWALLS DE INSPECCIÓN DE ESTADO

Esta generación de firewalls almacena los Estados en los que se encuentran las
conexiones que se realizan entre el exterior y el interior, también aquellas en sentido
contrario, almacenan esta información en una Tabla de estado asociada a cada conexión,
la tabla registra el estado según el contexto de los paquetes, almacenan información de
DIPLOMADO EN GESTIÓN INTEGRAL DE RIESGOS (GIR) INTERNACIONAL

que estación se encuentra en la conexión, que paquetes envía y cuando lo hace. El


descarte o no de esta generación de firewalls se realiza por comparación de los paquetes
con la información de la tabla de estado, lo cual involucra un procesamiento adicional
podría presentarse la situación en que el firewall sea atacado por múltiples peticiones lo
cual retardaría las operaciones y constituiría una desventaja.

FIREWALL DE FILTRADO DINÁMICO DE PAQUETES

Son firewalls que manejan estrictamente una fuente específica de paquetes, un destino y
un puerto de acceso. Son como un intermedio entre firewalls de filtrado de paquetes y
servidores proxies.

ARQUITECTUTRAS DE FIREWALL

En estas son implementadas las distintas generaciones de firewalls, principalmente son 4


y pueden aplicarse individualmente o ser combinadas, depende de los usos de la red de
la organización, de su habilidad para las adaptaciones y de su presupuesto.

Enrutadores de filtrado de paquetes: regularmente las organizaciones con conexión a


Internet usan un enrutador entre sus redes internas y el proveedor de servicios. Estos
están configurados para bloquear los paquetes que la organización no permite en la red,
esta sería la arquitectura más simple y efectiva.

Sistema de firewall de Screened-host (visualización y copiado): combina el enrutador de


filtrado de paquetes con un firewall aparte y dedicado, y una aplicación de servidor proxy.
El enrutador visualiza y almacena los paquetes para minimizar el tráfico en la red y los
carga en el Proxy interno. Este último recibe nombres como Bastion-host (Terminal de
bastion) o sacrificial-host (Terminal de sacrificio), pues se convierte en un equipo objetivo
de la mayoría de ataques por la información que contiene, salvando en ocasiones a los
equipos internos de la red.

Firewalls de Terminal de pertenecía-dual (dual-homed host): En esta configuración el


Terminal Bastión o de sacrificio, contiene dos interfases de red, una conectada a la red
externa y otra a la interna. Todo el tráfico debe ir a través del firewall para moverse entre
las dos redes. En esta arquitectura se utiliza el NAT (network-address translation)
traducción de direcciones de red, funciona convirtiendo las direcciones de la red interna a
otro rango de direcciones, desorientando los ataques externos, pues se hace no
identificable un Terminal en específico.

firewalls de Sreened-Subnet (visualización y copiado de subred) con DMZ (zona


delimitada): Consiste en uno o más Terminales Bastión (o de sacrificio) detrás de un
enrutador de filtrado de paquetes, cada Terminal protegería la red confiable o interna y
conformaran una zona delimitada, otro enrutador de filtrado de paquetes está entre los
terminales bastión y la red confiable, esta configuración limita el acceso de las peticiones
de la red externa a los equipos de la zona DMZ, brindando seguridad a la red interna.
Esta es una arquitectura costosa y vale la pena implementarla según la necesidad.
DIPLOMADO EN GESTIÓN INTEGRAL DE RIESGOS (GIR) INTERNACIONAL

SELECCIONANDO EL FIREWALL CORRECTO

Tenga en cuenta los siguientes aspectos:

¿Qué tipo de tecnología de firewall ofrece un correcto balance entre protección y costo
para las necesidades de la organización?

¿Qué características son incluidas en el precio base, que características están disponibles
por un precio extra?, ¿Se conocen todos los factores del precio?

¿Cuán fácil es instalar y configurar el firewall?, ¿Con que facilidad se consiguen los
técnicos competentes para configurar el firewall?

¿El firewall que está a punto de escogerse puede adaptarse a una red creciente según
los objetivos de la organización?

ADMINISTRANDO FIREWALLS

Cualquier dispositivo firewall, ya sea un Enrutador de Filtrado de Paquetes, un Terminal


Bastión u otra implementación, debe tener su conjunto de reglas de configuración que
regule sus acciones, se debe priorizar las condiciones de restricción para no limitar o
inhabilitar procedimientos. Es importante tener en cuenta el balance entre desempeño y
restricciones pues la mayoría de organizaciones prefiere trabajar con riesgos potenciales
que con una falla cierta y constante. Tenga en cuenta que:

Los firewalls no son creativos ni tienen sentido de las acciones humanas fuera del rango
de las respuestas de sus programas. Los firewalls operan estrictamente con patrones
definidos, estos pueden ser conocidos por atacantes y pueden ser usados para su
beneficio en el ataque. Los firewalls son maquinas de computo en sí, y son susceptibles a
errores en programación, fallas en establecimiento de reglas y con vulnerabilidades
inherentes. Los firewalls están diseñados para funcionar en los límites de su capacidad y
por ello solo responden a patrones o eventos que ocurren en una esperada y razonable
secuencia simultánea. Los firewalls están diseñados, implementados, configurados y
operados por personas y están sujetos a los errores que estos puedan cometer.

PROTECIONES DE DIAL- UP

Antes de la existencia de Internet eran muy normales las conexiones entre redes privadas
a través de Dialup (marcaciones y registro) o por enlaces arrendados. Aun se encuentran
y son usadas cuando lo dispone así el carácter de la organización, los temas de seguridad
y los niveles de protección son también muy importantes en este tipo de configuraciones,
existen atacantes sobre estas redes y enlaces privados, los war-dialer son teléfonos de
marcación automática que marcan (Dial up) dentro de rangos determinados esperando
que conteste una persona o un MODEM (dispositivo que convierte formato de datos de
computadores a formato de línea telefónica para poder ser transportados), cuando este
último es quien contesta, el numero es guardado y queda listo para un futuro ataque
basado en ciertas técnicas.
DIPLOMADO EN GESTIÓN INTEGRAL DE RIESGOS (GIR) INTERNACIONAL

En estas redes con conexión Dial-up, los esquemas de autenticación son comúnmente
muy simples, por lo tanto vulnerables pero existen tecnologías dedicadas a mejorar este
aspecto y son:

• RADIUS (Remote Authentication Dial-In User Service) servicio de autenticación


remota de usuarios dial-In, este centraliza la administración de la autenticación de
usuarios en un servidor RADIUS, cuando un Servidor de Acceso Remoto (RAS)
recibe la petición de conexión de un cliente mediante dial-up, este pasa la petición
y las credenciales al servidor RADIUS, este valida las credenciales y da una
decisión (aceptación o negación) al RAS.

• TACACS (Terminal Access Controller Access Control System) sistema de control


de acceso por Terminal controlador de acceso, es un sistema de autorización de
acceso remoto basado en una configuración de cliente servidor, utiliza un servicio
de datos centralizado como el que proporciona el servidor RADIUS y valida las
credenciales de usuario en el servidor TACACS.

ADMINISTRANDO CONECCIONES DIAL-UP

Determinar cuántas conexiones Dial-up (accesos telefónicos) tiene la organización, puede


que existan accesos que ya no se utilizan y por descuido se han dejado activos lo cual
genera costos y puede ser una entrada para intrusos no vigilada. Control de acceso a
números de modem autorizados y mantenerlos bajo una política de confidencialidad. Usar
un Call-back, servicio de llamada devuelta, los usuarios de la red llamarían a esta con la
intención de establecer una comunicación exterior, el servicio de call-back verificaría al
llamante y devolvería la llamada estableciendo conexión entre el llamante y su destino.
Usar llaves de autenticación, es decir basarse en algo métodos más complejos que la
simple petición de un password para establecer comunicaciones.

SISTEMAS DE DETECCION DE INTRUSIONES (IDS)

Opera como un sistema de alarmas, cuando una violación es detectada se dan procesos
de alerta, pueden configurarse los niveles de alarma, los niveles de decisión, las
respuestas a estos y el sistema de reporte de las violaciones hacia los administradores de
IDS, p. Ej. vía correo electrónico o reportarlo a una organización externa de seguridad de
la información. Estos sistemas pueden ser basados en Red o en Terminal según se quiera
proteger información de red o un terminal especifico. También usan dos métodos de
detección, basados en firma o en anomalía estadística.

IDS BASADOS EN RED

Funcionan configurando y clasificando varias categorías de sistemas y archivos de datos


en un terminal (un computador de la red), puede asignarse alertas a modificaciones,
creaciones o borrados en archivos de sistemas de software en los computadores, a
archivos relacionados a software de seguridad o a archivos de datos críticos, rara vez se
asignan alarmas a archivos de software de aplicaciones pues los usuarios regularmente
actualizan versiones o modifican estos datos. Es importante asignar alarmas importantes
a situaciones o cambios en los terminales que lo ameriten.
DIPLOMADO EN GESTIÓN INTEGRAL DE RIESGOS (GIR) INTERNACIONAL

Regularmente en horas de operación de rutina en el seminal se reportan alarmas por


razones urgentes y se graban según el caso, durante periodos de actividad excesiva se
pueden enviar alertas de actividad sospechosa y grabarlas para un posterior análisis.

IDS BASADOS EN TERMINALES

Hacen monitoreo sobre el trafico de red, avisando al administrador indicado. Siguen


patrones de tráfico, como series de datos que indican la negación de un servicio
(resultado de un ataque) o paquetes que indican el escaneo de un puerto en especial.
Estos IDS son más complejos y generan más resultados pues están directamente sobre la
información que circula en la red.

IDS BASADOS EN FIRMA

También conocidos como IDS basados en Conocimiento, funciona con un antivirus,


contrastan el tráfico de datos con firmas (esquemas) que ya conocen (como patrones de
ataques predeterminados), deben actualizarse constantemente para poder detectar
nuevos patrones enemigos.

IDS BASADOS EN ANOMALIA ESTADÍSTICA

O IDS basados en comportamiento, esta toma datos del tráfico de datos y forma una línea
base, periódicamente toma muestras del trafico de red y lo compara con la línea base
según métodos estadísticos, cuando algo está fuera de parámetros lo reporta al
administrador. Este requiere de más procesamiento pues según cada muestreo se van
adicionando parámetros a la línea base, sin embargo es mejor que el IDS basado en
firma.

ADMISTRANDO SISTEMAS DE DETECCION DE INTRUSIÓN.

Si una alarma no logra generar una respuesta, entonces no sirve, se debe tener presente
que un IDS no niega el acceso a un sistema, tampoco está programado para tomar una
acción, se limita a generar la alarma y posiblemente grabar la causa, luego se debe
configurar para reaccione con un conocimiento técnico adecuado y con conocimiento
cuando las situaciones que se presentan son rutinarias o casos de baja, media o severa
seriedad en la seguridad de la información. Los IDS se pueden configurar para traducir
una alerta de seguridad en diferentes tipos de notificación, como correos electrónicos,
archivos de grabación o mensajes de texto. La mayoría de sistemas IDS, están
compuestos de Agentes, estos son pedazos de software que residen en un sistema y
reportan a un servidor administrador, si el canal de comunicación con este no es seguro
un ataque puede aprovechar la información del agente o la información del servidor
administrador.

HERRAMIENTAS DE ESCANEO Y ANALISIS

En sí, los ataques, las personas que están detrás de ellos (Hackers), las técnicas y
herramientas que utilizan para esto, son la mejor manera de detectar vulnerabilidades del
sistema, hoyos en componentes de seguridad y otros aspectos relacionados con la red.
DIPLOMADO EN GESTIÓN INTEGRAL DE RIESGOS (GIR) INTERNACIONAL

Luego seguir sus procedimientos ayuda a mejorar la seguridad de la información que


queremos proteger.

Recolectar información necesaria para un ataque por parte de un hacker es conocida


como Footprinting (huellas de pie) este está basado en encontrar las direcciones de
Internet de una red en especifico para determinar el conjunto que puede ser víctima de un
ataque. Luego el Fingerprinting (huella de dedo) consiste en realizar un examen
sistemático de todas las direcciones conseguidas por el Footprinting, las herramientas que
desarrollan un análisis detallado y revelan información de los objetivos a atacar son:

Scaners de Puertos: estas utilidades pueden identificar computadores que están activos
en la red, sus puertos y servicios, sus funciones y rol en la red y otra información valiosa.
Un puerto es un canal por el cual se puede tener acceso a las aplicaciones de un
computador, de un enrutador o servidor, si un puerto no es asegurado es una vía libre
para un ataque, escape de información o para que manejen remotamente su equipo.

Scaners de Vulnerabilidad: son variaciones de los scanner de puertos, buscan


información muy detallada, identifican nombres de usuarios y grupos expuestos, muestran
interfases compartidas entre redes, y exponen problemas de configuración, entre otras
cosas como sistemas operativos utilizados, sus versiones, tipos de firewalls de filtros de
paquetes, etc.

Analizadores de paquetes (Sniffers): esta herramienta de red colecta y analiza copias de


paquetes de la red, brinda una gran información para el diagnostico y solución de
problemas, pero usado para mal, puede quebrar el tráfico en la red.

Filtros de contenido: puede ser un programa o un dispositivo, o ambos que permiten a los
administradores restringir el contenido que ingresa a la red. El objetivo es no permitir que
los usuarios empleen los recursos de red para adquirir o consultar información que no
esta relacionada con las labores en la empresa.

Atrapar y seguir (trap and trace): Son aplicaciones, en la que la función de Atrapar,
consiste en software diseñado para atraer individuos que ilegalmente entran en áreas de
la red, son ficheros o archivos que mantiene ocupado al intruso mientras el software
notifica el hecho al administrador. La parte de Seguir, está encaminada a determinar la
identidad del intruso, si pertenece al interior de la organización o no para tomar las
medidas correspondientes.

CRIPTOGRAFIA

Es el proceso de convertir el mensaje original en una forma que no pueda ser entendida
por individuos no autorizados. Si no se cuenta con la herramienta y el conocimiento para
la recuperar el mensaje de la conversión no se podrá interpretar el mismo. Algunos
términos para comprender este tema son:

• Algoritmo: fórmula matemática o método para convertir un mensaje no encriptado


en uno encriptado.
• Cifrado: la transformación de componentes individuales (caracteres, bytes o bits)
de un mensaje no encriptado a componentes encriptados.
• Criptograma: el mensaje codificados resultante de una encripcion.
DIPLOMADO EN GESTIÓN INTEGRAL DE RIESGOS (GIR) INTERNACIONAL

• Criptosistema: conjunto de transformaciones necesarias para convertir un mensaje


no encriptado en uno encriptado.
• Descifrador: para convertir criptogramas en texto plano.
• Encifrador: para encriptar o convertir texto plano en texto cifrado.
• Llave (Key): información usada en conjunto con el algoritmo para crear el texto
cifrado del texto plano, este puede ser una serie de bits usados en el algoritmo
matemático, o el conocimiento de cómo manipular el texto plano.
• Dominio de llave (keyspace) el rango de valores que puede ser usado para
construir una llave individual.
• Texto plano: el mensaje original que es encriptado
• Steganografia: el proceso de esconder mensajes.
• Factor de trabajo: la cantidad de esfuerzo (expresado en unidades de tiempo) para
desarrollar el análisis de un mensaje encriptado.

OPERACIONES DE ENCRIPCION:

Cifrado común

Involucra tres funciones, Sustitución, transposición y XOR, en el Cifrado de Sustitución, se


cambia un valor por otro, p. Ej. Con el alfabeto cambia una letra por la tercera letra que le
sigue en orden alfabético, luego BERLIN se convierte en EHUOLQ. El cifrado de
transposición cambia de posición los valores dentro de un bloque, puede ser en la palabra
BERLIN, que la primera letra pase a ser la sexta, que la sexta sea la primera, que la
segunda la quinta….etc. en la conversión o cifrado XOR se opera a una serie de bits
(unos y ceros) que corresponden al mensaje, con una Llave (Key), la operación implica,
bits iguales dan cero, bits diferentes da uno, p. Ej. Texto plano: 01000001 XOR 01011010
= 00011011

Cifrado Vernam

Fue creado por AT&T y usa un conjunto de caracteres que son usados para operaciones
de encripción solo una vez y se descartan, los valores usados (valor de orden numérico
en el orden alfabético de las letras) una vez son sumados al bloque de texto y el resultado
es convertido a texto. Cuando dos grupos de valores son sumados, si los valores
resultantes exceden 26, 26 es restado del total (proceso llamado modulo 26) los
resultados correspondientes son de nuevo convertidos a texto.

Cifrado de libro

este implica que quienes se comunican conozcan un libro en especifico, se envía un


código que cita el número de la pagina, el numero de la línea en esta página y el número
de la palabra sobre esa línea, luego 67,3,1; significa la pagina 67, el renglón 3 y la primera
palabra de ese renglón. Una secuencia de números creara una secuencia de palabras, y
estas un mensaje.

Encripción simétrica:

Esta caracteriza las técnicas que se acabaron de describir, implica que tanto emisor como
receptor del mensaje usan el mismo algoritmo o Llave para desencriptar el mensaje, el
DIPLOMADO EN GESTIÓN INTEGRAL DE RIESGOS (GIR) INTERNACIONAL

algoritmo o la llave debe ser común y exacta o de lo contrario el sistema falla, se debe
asegurar que la Llave viaje por un canal distinto al del mensaje encriptado, que ese canal
sea seguro y garantice integridad.

Encripción asimétrica

Se refiere al método que utiliza Llaves distintas para la encripción y desencripción, Si la


llave A es usada para encriptar solo la llave B permite la desencripcion, si la llave B
encripta solo la llave A desencripta, generalmente una de las llaves es de dominio público
y la otra es privada.

Firmas digitales

Son mensajes encriptados que son independientemente verificados por una entidad
central (registrada) como auténticos, es el caso de los mensajes encriptados por el
usuario que tiene la llave privada, solo a él corresponde y por ello es único, mientras que
la llave pública y la desencripción puede atribuirse a cualquiera.

RSA

Es un sistema de criptografía propietario y de llave pública (parámetros de Rivest-Shamir-


Aldeman, son los nombres de sus creadores). Es un sistema adoptado por software como
Internet Explorer y el navegador Netscape. Existen variaciones del mismo que aumentan
su complejidad y son usados en otras aplicaciones.

Infraestructura de llave publica

(PKI) es el conjunto completo de hardware, software y criptosistema, necesarios para


implementar la encripcion por llave pública. Incluye certificados digitales y certificados de
autoridades. El método permite incrementar las capacidades de una organización en la
protección de su información proveyendo los siguientes servicios: Autenticación,
Integridad, Confidencialidad, Autorización, No repudiación (reconocimiento de firma
digital).

Sistemas Híbridos

la encripcion totalmente asimétrica no es ampliamente usada (excepto en el área de


certificaciones), en su lugar es típicamente usada en conjunto con la simétrica para crear
un sistema híbrido. El método consiste en intercambiar llaves simétricas mediante
encripcion asimétrica.

EL PERSONAL DE SEGURIDAD DE LA INFORMACION

Mantener un ambiente seguro requiere que el departamento de Seguridad de la


información este conformado por personal apropiadamente acreditado. Esto también
requiere que los procedimientos propios sean integrados entre todas las actividades de
recursos humanos, incluyendo contratación, entrenamiento, promoción y prácticas de
terminación.
DIPLOMADO EN GESTIÓN INTEGRAL DE RIESGOS (GIR) INTERNACIONAL

PERSONALIZANDO LA FUNCION DE SEGURIDAD

Para seleccionar buen personal de InfoSec, para una organización se deben considerar
ciertos criterios, algunos se encuentran bajo el control de la organización otros no, tales
como la oferta y demanda de diferentes habilidades y niveles de experiencia. Al existir
una demanda de personal con habilidades específicas va a existir un mercado de
personal que cuenta con capacidades a cierto nivel, y pocos de estos oferentes se
acoplan a las necesidades de la demanda de personal. La oferta de personal igualmente
evalúa su nivel y su posición y enfoca su desarrollo a la consecución de las credenciales y
habilidades para suplir la demanda, cuando varios de esos oferentes poseen las
características la demanda puede ser muy selectiva para llenar sus necesidades de
personal.

MERITOS (QUALIFICATIONS) Y REQUERIMIENTOS

Por el relativamente reciente comienzo de InfoSec como una disciplina, muchas


organizaciones no están seguras de los meritos que el personal competente en seguridad
de la información debería tener. Generalmente los roles de este personal son fijos, pero
para sacar adelante una disciplina de InfoSec se deben seguir los siguientes pasos:

 La comunidad de la administración en general interesada debería aprender más


respecto a los requerimientos y meritos para cargos o posiciones de InfoSec y para
cargos relevantes de IT.

 La administración superior debería aprender más respecto a los presupuestos de


InfoSeg y necesidades de personal. La IT, y la comunidad de administración en
general, deben conceder (en particular al oficial de InfoSec) un apropiado nivel de
influencia y prestigio.

 En la contratación todo nivel de profesionales en InfoSec, las organizaciones


frecuentemente buscan individuos con las siguientes habilidades:

 Entendimiento de cómo están estructuradas y operan las organizaciones.


 Reconocer que la InfoSeg es una tarea de administración y no puede ser
manejada solo por tecnología.
 Trabajar bien con la gente en general, incluyendo usuarios, y comunicarse
efectivamente usando habilidades fuertes de comunicación hablada y
escrita.
 Reconocimiento del rol de las políticas para guiar los esfuerzos de
seguridad.
 Entender el rol esencial de la educación y entrenamiento en la InfoSec.
Que ayuda a los usuarios a ser parte de la solución y no del problema.
 Percibir los acuerdos encarando a la organización, entendiendo como
estos acuerdos pueden convertirse en ataques y salvaguardando a la
organización de estos.
 Entender como controles técnicos pueden ser aplicados para solucionar
problemas específicos de InfoSec.
 Demostrar familiaridad con las tecnologías de la información.
 Entender terminología y conceptos de IT e InfoSec.
DIPLOMADO EN GESTIÓN INTEGRAL DE RIESGOS (GIR) INTERNACIONAL

Varios tipos de profesionales de la información entran en este campo, es el caso de gente


que ha hecho carrera en leyes, campo militar o en alguna área de IT. Estos últimos se
enfocan hacia las soluciones técnicas a los problemas y se especializan en alguna labor
relacionada cierto tema de tecnología. No se debe dejar de lado que esta disciplina
implica también el manejo en general de la información. Las organizaciones deben definir
las expectativas de sus profesionales y establecer descripciones explicitas de sus
posiciones.

CARGOS EN SEGURIDAD DE LA INFORMACIÓN

Se encuentran distribuidas en tres áreas: Aquellos que DEFINEN, estos proveen las
políticas, lineamientos y estándares. Aquellos que CONSTRUYEN, estos son los
tecnológicos, quienes crean e instalan soluciones de seguridad. Y Aquellos que
ADMINISTRAN, estos operan las herramientas de seguridad hacen la función de
monitoreo y continuamente mejoran los procesos.

A continuación se citan algunos cargos fundamentales correspondientes a estos modelos:

Oficial Jefe de en seguridad de información (CISO)

es el oficial de mayor nivel en la organización, en primera instancia son gerentes de


negocio y en segundo lugar entendidos en las áreas de InfoSec, referentes a tecnología,
planeamiento y políticas. Realizan planeamiento estratégico y operacional, toma
decisiones en la compra, proyección e implementación de tecnología. Participa en la
contratación del personal, es la persona que habla en nombre de todo el programa de
seguridad. Meritos y requerimientos del cargo: comúnmente Certificado cómo Profesional
en Sistemas de Seguridad de la Información (CISSP), graduado en alguno de los campos
antes explicados.

Gerente de Seguridad

Él cumple los objetivos identificados por el CISO y resuelve las tareas identificadas por los
técnicos. Participa en el desarrollo de políticas, prevención de riesgos planeamiento de
contingencias, operaciones y tácticas. Requiere de entendimiento de administración de
tecnología pero no necesariamente en la operación, configuración o resolución de
problemas de tecnología. Meritos y requerimientos del cargo: puede ser certificados
CISSP, experiencia en negocios, presupuestos, gerencia de proyectos, de personal,
contratación y despido.

Técnico de Seguridad

Debe ser un individuo calificado técnicamente que realice configuración, diagnostico, y


resolución de problemas respecto a hardware y software de seguridad de la información.
Debe especializarse en los tipos de dispositivos, marcas y específicos que utiliza la
organización en la tecnología de seguridad. Aquellos que quieran escalar en la jerarquía
organizacional, deben obtener conocimiento del lado organizacional de la organización.
Meritos y requerimientos del cargo: estos varían, regularmente se prefieren expertos
certificados. Regularmente se necesita experiencia en un tipo especifico de hardware y
software.
DIPLOMADO EN GESTIÓN INTEGRAL DE RIESGOS (GIR) INTERNACIONAL

CREDENCIALES DE PROFESIONALES EN SEGURIDAD DE LA INFORMACION

Los empleados del medio se esfuerzan por ajustar las certificaciones a los requerimientos
de cargos, mientras que los trabajadores potenciales de InfoSec tratan de determinar que
certificaciones pueden ayudarle a posicionarse en el mercado laboral.

A continuación se menciona información de los programas de certificación en seguridad


de la información:

• CERTIFIED INFORMATION SYSTEMS SECURITY PROFESIONAL (Profesional


Certificado en Sistemas de Seguridad de la Información) CISSP y SYSTEMS
SECURITY CERTIFIED PRACTIOTIONER (Certificado en Sistemas de Seguridad
en Ejercicio) SSCP. Considerada la certificación más prestigiosa para gerentes en
seguridad y CISOs, la CISSP es una de las dos certificaciones ofrecidas por
Consorcio Certificado Internacional en Sistemas de Seguridad de la Información.
(ISC, www.isc2.org), la SSCP es la otra.

• GLOBAL INFORMATION ASSURANCE CERTIFICATION (Certificación de


Garantía de Información Global) GIAC. Creada por la Administración de Sistemas,
Organización de redes y seguridad (SANS, www.sanns.org) desarrollo una serie
de certificaciones técnicas, conocidas como GIAC, (www.giac.org). Solo aquellos
que trabajan en el campo de la seguridad pueden obtener certificados de redes o
computación como Ingeniero de Sistemas Microsoft Certificado MCSE o Ingeniero
Novell Certificado CNE. Las certificaciones GIAC individuales son:

 GIAC Security Essentials Certification GSEC


 GIAC Certified Firewall Analyst GCFW
 GIAC Certified Intrusion Analyst GCIA
 GIAC Certified Incident Handler GCIH
 GIAC Certified Windows Security Administrator GCWN
 GIAC Certified UNIX Security Administrator GCUX
 GIAC Information Security Officer-Basic GISO-Basic
 GIAC Systems and Network Auditor GCNA
 GIAC Certified Forensic Analyst GCFA
 GIAC Security Leadership Certificate GSLC

• SECURITY CERTIFIED PROGRAM (Programa de Seguridad Certificada) SCP,


hace parte de las más recientes certificaciones (www.securitycertified.net), esta
ofrece dos especialidades: SCNP SECURITY CERTIFIED NETWORK
PROFESIONAL (Profesional Certificado en Seguridad en Redes) y la SCNA
SECURITY CERTIFIED NETWORK ARCHITECT (Arquitecto Certificado en
Seguridad en Redes).

• TRUSECURE ICSA CERTIFIED SECURITY ASSOCIATE TICSA, es emitida por


una organización conocida como TrueSecure Corporation y es complementaria a
la certificación CISSP.

• SECURITY +, emitida por CompTIA (www.comptia.com)


DIPLOMADO EN GESTIÓN INTEGRAL DE RIESGOS (GIR) INTERNACIONAL

• CERTIFIED INFORMATION SYSTEMS AUDITOR CISA, AND CERTIFIED


INFORMATION SECURITY MANAGER CIMS. Es emitida por The Information
Systems Audit and Control Association and Foundation ISACA.

• CERTIFIED INFORMATION FORENSICS INVESTIGATOR CIFI, emitida por The


Information Security Forensics Association IFSA (www.infoforensics.org)

Costos de las certificaciones

Los exámenes individuales para certificaciones pueden costar alrededor de $500, y


certificaciones que requieren múltiples exámenes pueden costar algunos cientos de miles
de dólares, adicionalmente el entrenamiento formal que prepara para la presentación de
los exámenes puede ser significativo.

DESARROLLANDO POLÍTICAS Y PRÁCTICAS

Los siguientes son conceptos relacionados a reclutamiento, contratación, despido y


administración de los recursos humanos.

CONTRATACION

El CISO en cooperación con el CIO y gerentes de seguridad, debe establecer un dialogo


con personal de recursos humanos, para que sus consideraciones se conviertan en parte
del proceso de contratación. La Descripción de los trabajos o empleos: especificar
responsabilidades en los empleos para el manejo de la seguridad de la información, las
organizaciones deben proveer descripciones completas de los empleos cuando las
convocatorias y anuncios deben omitir los elementos de la descripción del empleo que
señalen privilegios.

Las entrevistas: que incluyan miembros del personal de recursos humanos y miembros
del departamento en el cual se ofrece empleo. Cuando se abre una convocatoria el
Gerente de Seguridad es quien debe instruir a recursos humanos en las diversas
certificaciones, experiencia especifica y credenciales requeridas del candidato y como
calificarlo.

Orientación a los contratados: esta debe incluir políticas, procedimientos de seguridad,


niveles de acceso y entrenamiento en los sistemas de información segura que se utilicen.
Entrenamiento de seguridad en el trabajo: las organizaciones deben conducir actividades
de prevención y entrenamiento periódicas para mantener la seguridad en el horizonte
mental de los empleados y evitar sus errores.

Chequeos de Seguridad: estos chequeos se refieren a las investigaciones de


comportamiento legal de los aspirantes a empleados, su pasado judicial, posible
comportamiento criminal, entre otros. Las regulaciones gubernamentales regularmente
ayudan a los empleadores a tomar decisiones sobre este respecto al considerar una
posible contratación.
DIPLOMADO EN GESTIÓN INTEGRAL DE RIESGOS (GIR) INTERNACIONAL

CONTRATOS Y EMPLEAMIENTO

Una vez el empleado ha aceptado una oferta de empleo, el contrato se convierte en un


instrumento fundamental para regular los deberes y obligación que tanto empleador como
empleado están comprometidos. El contrato establece claramente los lineamientos a los
cuales se somete el empleado, este puede ofrecer un acuerdo de contingencia, para
negociar con el empleador políticas con las cuales no esté de acuerdo.

SEGURIDAD COMO PARTE DEL DESARROLLO DE EVALUACIONES

Las organizaciones deben incorporar componentes de seguridad de la información en las


evaluaciones de desempeño de los empleados. Estos procesos incentivan al empleado a
prestar más cuidado en el desempeño de sus tareas.

ASPECTOS DE TERMINACION

Una organización puede minimizar, desplazar, sacar de lugar, eliminar, apartar del
negocio, simplemente dejar en desuso, despedir o relocalizar su fuerza de trabajo.
Cuando un empleado deja su trabajo un conjunto de medidas debe tomarse para controlar
los accesos a información de los que disponía, las herramientas de manipulación,
métodos de acceso y todo lo relacionado con información de seguridad de la empresa.

BIBLIOGRAFÍA

• Protection of Assets Manual, Timothy J. Walsh, (Cap. 15 y 34).

• Protecting Your Business against Espionage, Timothy J. Walsh, Richard J. Healy,


AMACOM, a Division of American Management Association.

• Management of information Security, Michael E. Whitman, Herbert J. Mattord.


DIPLOMADO EN GESTIÓN INTEGRAL DE RIESGOS (GIR) INTERNACIONAL

APENDICE

VIRUS2

TIPOS DE VIRUS.

Vamos a ver ahora una clasificación de virus basada en varias de sus características más
importantes, como pueden ser su forma de contaminar, de activarse o de las partes del
ordenador infectado a las que ataca. Hay que destacar que es frecuente considerar como
virus a otras entidades software que igualmente atacan a un ordenador anfitrión, como
troyanos, gusanos, etc.

Más adelante estudiaremos este tipo de programas, centrándonos ahora en los que
podemos llamar virus verdaderos. Podemos distinguir fundamentalmente los siguientes
tipos de virus:

Virus del sector de arranque

Que se instalan en el sector de arranque de los discos duros del ordenador infestado, con
lo que cada vez que se arranca el equipo el virus se ejecuta y se carga en memoria.
Originalmente este tipo de virus se instalaba en el sector de arranque de DOS, pero ya
existen diversos virus que son capaces de hacerlo en el registro de arranque principal,
como es el caso de virus MBR. También entran dentro de este tipo los virus que infectan
el sector de arranque de los disquetes flexibles, aunque actualmente estos virus son cada
vez más difíciles de encontrar.

Virus de sistema

Creados para afectar en primer lugar al fichero COMMAND.COM y a partir de él


extenderse a otras áreas vitales del sistema, como el sector de arranque o el Master Boot
Record.

Virus parásitos o de fichero:

Son los más comunes en la actualidad, e infectan a programas ejecutables, tipo .exe, .bat
o.com. Cuando el programa infectado es ejecutado por el usuario, a la vez que se carga
este se carga también el virus, quedando residente en memoria, y desde ese momento
puede rastrear la actividad en el equipo buscando otros programas en ejecución a los que
contaminar.

Virus de macro

Aparecieron en 1995, y basan su poder de infección en la asociación a programas o


ficheros que contienen rutinas de código ejecutable destinadas a hacer más simple su uso
por parte del usuario. Estas porciones de código especial reciben el nombre de macros, y
se pueden encontrar por ejemplo en los programas comunes de Microsoft Office, como
Word, Acces o Excell. Un virus de este tipo es simplemente una macro diseñada para uno
de estos programas, que se ejecuta cuando el documento que la contiene es abierto por

2
Por Luciano Moreno, del departamento de diseño web de BJS Software.
DIPLOMADO EN GESTIÓN INTEGRAL DE RIESGOS (GIR) INTERNACIONAL

el usuario, cargándose en memoria y quedando disponible para infectar otros documentos


análogos. Estos virus poseen la capacidad de infectarse y propagarse por sí mismos, sin
necesidad de intervención de ningún programa anfitrión. Aunque están escritos en
lenguajes de macro, pueden no sólo infectar documentos que las utilicen, si no que
pueden estar programados para dar órdenes directas al sistema operativo, pudiendo por
tanto dar órdenes de borrado de ficharos, formateo, etc.

Virus multiparticiones

Que son un híbrido entre los virus de sector de arranque y los de programa.

Virus polimórficos o mutacionales

Que van cambiando su propio código a medida que se reproduce, de tal forma que las
cadenas que lo forman no son la misma de una copia a otra. Además, pueden
autoencriptarse en cada modificación, por lo que son los más difíciles de detectar y
eliminar.

Virus anexados

Que suelen ir acompañando a mensajes de correo electrónico, y que aparecieron en


1999. Al principio había que abrir este fichero anexado al mensaje de e-mail (como ocurre
con el popular virus del enanito), pero ya se han dado casos de virus que infectan sólo por
el hecho de leer e-mails en formato HTML, como BubbleBoy. Estos no son todos los tipos
definidos en los diferentes manuales y artículos sobre los virus que podemos encontrar,
pero sí los más representativos. Hay autores que añaden clasificaciones de acuerdo con
el modo de infectar, con el medio de propagación, etc.

PSEUDO VIRUS.

Un virus es todo código capaz de autoreproducirse, realice o no otras misiones


destructivas, y hemos visto también los diferentes tipos de virus que podemos encontrar.
Pero a veces podemos encontrar definiciones como Troyanos, Gusanos, etc. asociadas a
las de virus. En realidad estos tipos de programas infectivos no son virus en el sentido
estricto, aunque muchos de ellos poseen características compartidas con los virus. Vamos
a ver qué son estos tipos de programas dañinos.

Se entiende por Troyano un programa informático que tiene la capacidad de ocultarse


dentro de otro de apariencia inofensiva, de tal forma que cuando este programa anfitrión
es ejecutado, el troyano se carga en memoria y realiza la labor dañina para la que fue
diseñado. A diferencia de los virus, los troyanos no se duplican a sí mismos.

Para activarse, un troyano necesita que se abra el archivo al que va asociado, al que ha
infectado, y una vez que se ha activado normalmente queda residente en memoria
usando el procedimiento TSR (Terminate and Stay Resident), quedando así a la espera
de que ocurra un determinado evento para realizar su tarea destructiva. Su nombre viene
de la similitud que poseen con el famoso caballo de Troya de La Odisea. En esta obra se
narra cómo el ejército griego, incapaz de romper las defensas de la ciudad de Troya, dejó
a las afuera de esta un gran caballo de madera, como si de un regalo a los dioses
troyanos se tratara. Los ciudadanos de Troya introdujeron el caballo en la ciudad, y al
DIPLOMADO EN GESTIÓN INTEGRAL DE RIESGOS (GIR) INTERNACIONAL

llegar la noche del interior de este salieron soldados griegos, que estaban ocultos dentro,
y abrieron las puertas de la ciudad, con lo que el ejército griego pudo penetrar en ella,
venciendo a los troyanos.

A diferencia de los virus, diseñados fundamentalmente para reproducirse y extenderse,


los troyanos son creados muchas veces para obtener información privilegiada del
ordenador en el que habitan, ya sea accediendo a un fichero de contraseñas y enviándolo
por Internet, bien abriendo puertas traseras que permiten luego el acceso a nuestro
sistema de personas indeseadas. A este último tipo pertenecen dos de los programas
más usados por los amigos de lo ajeno: BackOrifice y NetBus, verdaderos troyanos que
abren una puerta trasera en sistemas Windows, permitiendo el control TOTAL de nuestro
ordenador a personas desconocidas.

Se define como Gusano un programa que es capaz de duplicarse a sí mismo a través de


disquetes o de conexiones a la red, pero no es capaz de infectar a otros programas. Los
gusanos de tipo anfitrión utilizan la red para copiarse a sí mismos, mientras que los de
tipo de red extienden partes de sí mismos por las redes, basándose luego en conexiones
de red para ejecutar sus distintas partes. En caso de que el ordenador no está conectado
a la red, los gusanos pueden copiarse en distintas partes del disco duro.

Otro tipo de software malicioso son los Droppers, programas diseñados específicamente
para evitar su detección por parte de los antivirus. Su misión principal es la de transportar
e instalar virus. Normalmente se cargan en memoria y esperan que ocurra un evento
determinado, momento en el que se activan e infectan el sistema con el virus que
contienen.

Muy relacionado con este tipo de programas está el concepto de Bomba, ya que son
programas cuya misión es activarse en un momento prefijado, normalmente utilizando
para ello el reloj del sistema, aunque también pueden responder al número de veces que
se ejecuta un programa dado, por ejemplo. Un ejemplo simple de este tipo de programas
son las Bombas Ansi, secuencias simples de comandos de tipo texto que al ser cargadas
por el driver ANSI pueden modificar desde la respuesta del teclado hasta lo presentado en
pantalla, pudiendo ser difundidas a través de Intranets o de Internet. Un ejemplo de
actuación de este tipo de bombas es la ejecución de una serie de órdenes indeseadas
cuando el usuario teclea una secuencia dada de caracteres en el teclado.

Podemos también incluir en este apartado a las Mail Bombers, bombas de correo,
programas que pueden ser configurados para enviar grandes cantidades de correo a un
mismo destinatario, saturando con ello su buzón e incluso bloqueándolo. Muchas veces
realizan este envío masivo a través de sevidores de correo anónimos, para evitar que sea
detectado su origen.

Los denominados Hoaxes (bromazos) son mensajes de alarma que se envían por
correo, advirtiendo al personal de la existencia de determinados virus muy peligrosos,
generalmente desconocidos e inexistentes. Su contenido es totalmente falso, y su única
misión es provocar el pánico entre los internautas, consiguiendo con ello que se produzca
un envío masivo del mismo, produciéndose una reacción en cadena que puede ocasionar
la saturación de los servidores de correo y la congestión de las líneas de Internet.

Por último, los Jokes son una especie de broma (no son virus) de mal gusto, que tienen
por objeto hacer creer al usuario que ha sido contaminado por un virus, simulando el
DIPLOMADO EN GESTIÓN INTEGRAL DE RIESGOS (GIR) INTERNACIONAL

comportamiento que tendría un virus real, pero sin dañar en lo más mínimo el sistema que
lo acoge. Así por ejemplo, un joke puede mostrar en pantalla un mensaje de que el disco
duro se está formateando, a la vez que aparece una barra de progreso que va avanzando.

Da la sensación de que esa operación se está efectuando, pero en realidad no es así, y


no tiene consecuencias posteriores. Lo único negativo es que se instalan en el sistema sin
nuestro permiso y el susto que nos pueden dar. Ninguno de estos tipos de software es en
realidad un virus, aunque estos pueden usar en su código características de todos los
anteriores. Así, un virus puede extenderse mediante un dropper, puede duplicarse como
un gusano, se pueden asociar a un programa ejecutable, como si fuese un troyano, y
pueden esperar un evento determinado para lanzarse, como si fuesen bombas.

CONCLUSIONES.

Prácticamente, desde que existen los ordenadores existen los virus informáticos. Hemos
visto en este artículo diferentes aspectos sobre este tipo de programas, cómo podemos
defendernos de ellos y qué puede hacer la ley al respecto. Pero una conclusión clara es
que realmente estamos indefensos ante este tipo de ataques, pues no disponemos de
armas suficientes como para estar fuera de peligro. Y este es un hecho que no para. Se
manejan cifras de 500 nuevos virus mensuales en Internet, virus cada vez más
estudiados, más perfeccionados, preparados para burlar la vigilancia de los programas
antivirus. Y si la expansión de Internet supuso un empuje a la creación y difusión de virus,
ahora se están haciendo comunes otra serie de medios idóneos para la proliferación de
todo tipo de software dañino, medios que además crecen rápidamente en usuarios y son
menos conocidos técnicamente, como la telefonía móvil, los PDA, etc.

La sociedad de la información en la que vivimos va tendiendo a unificar todas las


tecnologías, permitiendo el futuro control de casi todos los aparatos necesarios para
nuestra vida por medio de Internet y las tecnologías similares, y esto va a suponer un
cambio total en la forma en que los programas dañinos pueden afectar a la sociedad en
general (como muestra un botón: el ejército americano gasta millones de dólares
anualmente en la investigación de virus informáticos, con objeto de poder bloquear con
ellos las comunicaciones y sistemas de un posible enemigo). No obstante, no debemos
ser alarmistas ni paranoicos. La vida es así, cada época ha tenido y tendrá sus cosas
buenas y sus cosas malas, y el ser humano, hasta ahora, siempre ha sabido defenderse
de los ataques y adaptarse a cada tiempo.

NOTA: Este artículo es una recopilación de diferentes fuentes sobre el tema de los virus.
No es mi idea al publicarlo el hacerme pasar por el creador original de lo que en él se
expone, ni puedo garantizar la total o puntual corrección de todo lo que aquí se ha escrito.
Por favor, si véis algún dato incorrecto o susceptible de mejora, escribidme y se corregirá.
Así mismo, pido disculpas a aquella persona que tal vez vean o crean ver alguna idea
original suya aquí expuesta. No los cito a todos por ser demasiados y porque no conozco
quienes son en la mayoría de los casos.