○ ○ ○ ○ ○ ○ ○ ○

○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○

Conceptos sobre Seguridad de la Información

Lima, Marzo de 2000

Elaboración

:

Sub-Jefatura de Informática Impreso en los Talleres de la Oficina de Impresiones de la Oficina Técnica de Difusión Estadística y Tecnología Informática del Instituto Nacional de Estadística e Informática Centro de Edición del INEI 500 Ejemplares Av. Gral. Garzón Nº 658 Jesús María, Lima 11 250 - OTDETI - INEI

Diagramación Edición Domicilio Orden Nº

: : : :

Seguridad de la Información

Presentación
El Instituto Nacional de Estadística e Informática (INEI), en el marco del plan de acción diseñado para sensibilizar y promover la Seguridad de la información en las Entidades Públicas y Privadas, pone a disposición el presente número titulado “Conceptos sobre Seguridad de la Información” El concepto de la seguridad de la información es amplio, debido a la gran cantidad de factores que intervienen, sin embargo es posible dar una aproximación a la definición y se puede decir que la seguridad es el conjunto de metodologías, documentos, programas y dispositivos físicos encaminados a lograr que la información disponible en un ambiente dado, tengan acceso única y exclusivamente quienes tengan la autorización para hacerlo. Así mismo la publicación describe las diversas técnicas y herramientas disponibles para proteger la información tales como los cortafuegos o firewalls, claves de acceso, encriptación, seguridad en los sistemas operativos y biometria entre otros. Otro aspecto importante que se trata en este libro está relacionado a la importancia de los Planes de Seguridad informáticos y la Implementación de auditorías para evaluar y controlar su cumplimiento así como la elaboración de Planes de Contingencia. El Instituto Nacional de Estadística e Informática INEI, pone a disposición de las entidades de la administración pública y privada la presente publicación esperando contribuir al conocimiento y al desarrollo de la Cultura informática en el País.

Econ. Félix Murillo Alfaro Jefe ESTADISTICA E INFORMATICA INSTITUTO NACIONAL DE

Instituto Nacional de Estadística e Informática

3

Seguridad de la Información

4

Instituto Nacional de Estadística e Informática

. 18 4........ 7 Seguridad de la Información .............................3 Virus Informáticos .... Introducción .................................................. 14 4................................... 30 Seguridad en los Principales Sistemas Operativos ..................................... 35 7................................................................................................................... 38 Plan de Seguridad de la Información.......................3........................1.............................. 2...1 Seguridad en Windows 200 ..................................2 Seguridad para aplicaciones del Web.......... 42 Bibliografía ...... 33 Seguridad en el Comercio Electrónico .........................................................................2 Amenazas por Internet ............ 23 5.................1 Sistemas de Cifrados......................Seguridad de la Información Contenido 1............. 44 5............................................... 25 5............. 23 5........ 40 Auditoría de Seguridad Informática como elemento de control.................... 32 6.. 26 5.. 9.........................1..........................1. 14 4.................................... 11.............................................................................1 Tipos de Virus Informáticos ................................................................................................................................................................................................................................................................. 3....4 Biometría ....3........................................................................................... 22 5........................................................................................................................................... 9 Las Tecnologías de Información en la Actualidad.............................................................. 10....2..........2........................................................................................... Criptografía..........2.................. 22 5........................2 Otras formas de Virus Informáticos ...................................... 37 7...........................1 Amenazas a la Seguridad de la Información ........3 Seguridad en Unix............... 6..................................................................................1......... 37 Plan de Contingencia ................ 25 5.....................................3 Seguridad para correo electrónico ................ 30 5.....3 Esteganografía ............... 8.................................................................................................................... Limitaciones de los Firewalls ..........1 Firewalls (cortafuegos)..... 32 6................. 20 Sistemas de Seguridad..............................................................2............................................................................................. 32 6................ Criptología .........1 PKI ............................................2............................................... 11 Vulnerabilidad de los Sistemas Informático ...........................2...................... 4..................................................... 20 4..........................................................2 Seguridad en Novell........................... Instituto Nacional de Estadística e Informática 5 ............................................... 16 4............. Alcances de los Firewalls ............... 36 7............................... 7........................................................................................................... 22 5................2 Encriptación .....................................................................

Seguridad de la Información 6 Instituto Nacional de Estadística e Informática .

logran ingresar a los sistemas informáticos de las organizaciones. que algunos llaman "Caballo de Troya". esto les trae muchos beneficios. pero también los hace vulnerables a los diferentes delitos que se pueden cometer por medio de las computadoras si no se cuentan con un sistema de seguridad. existen varias técnicas y herramientas para proteger la información. consiste en la creación de programas que desencriptan o identifican las contraseñas de acceso a la información. Uno de los principales peligros hoy en día corresponde a los llamados Hacker. Entre ellos. que actúan en forma imprevista. De esta forma. buscan los agujeros de seguridad en los sistemas (una línea mal escrita entre las miles que forman los programas) y avisan del fallo a las empresas. Una de las formas mas comunes. se pueden mencionar el robo. Los chicos malos como los crackers. Hoy en día. Esta situación hace que las empresas estén invirtiendo una parte de su presupuesto en la seguridad y protección de la información que maneja. eliminando de esta manera la protección de los sistemas. Entre estos podemos diferenciar dos tipos que los norteamericanos distinguen entre "chicos buenos" y "chicos malos". ya sea dentro o fuera de la empresa. Los chicos buenos como algunos hackers. puertos libres sin control. como el borrado de información. errores en los sistemas operativos o alguna ventaja que le brinden los sistemas. fraude. son personas con conocimientos de informática que elaboran programas y son capaces de descubrir los códigos de acceso a los sistemas. Otra forma. un conjunto de instrucciones o rutinas. el término HACKER (que en castellano significa "Cortador"). denominado "robo económico". etc. hasta el robo de información sensible que se puede vender. claves de acceso. destrucción o modificación de información. Otra forma que utilizan los hackers. son los que buscan alterar y/o hurtar la información que consiguen cuando rompen los sistemas de seguridad de las computadoras. Las acciones de los crackers pueden ir desde simples destrucciones. Que son realizados por personas con algún conocimiento de computación. consiste en introducir dentro de un programa.Seguridad de la Información 1. entre ellas cabe mencionar la implantación de políticas de seguridad tales como el uso de cortafuegos. entre otros. llegando en algunos casos a borrar la información del disco duro. consiste en invadir la red con gran cantidad de tráfico o múltiples mensajes hasta lograr que colapse. encriptación y codificación de mensajes. Introducción En la actualidad las empresas utilizan con más frecuencia las computadoras para manejar y almacenar su información vital que constituye el activo mas valioso. Instituto Nacional de Estadística e Informática 7 .

Actualmente existen programas antivirus que están diseñados para buscar virus. notificar a los usuarios de su existencia y eliminarlos de los discos o archivos infectados. Los delitos por computadora y alta tecnología hacen que en ocasiones sea imposible pensar en los conceptos de derecho tradicionales y más aún el expresarse con el lenguaje tradicional. Nuestros legisladores están tomando en cuenta la necesidad de la elaboración de leyes que incriminen y castiguen adecuadamente los llamados crímenes y delitos informáticos. 8 Instituto Nacional de Estadística e Informática . son una inversión.Seguridad de la Información Otros problemas que afectan la seguridad de la información son la proliferación los Virus informáticos. las organizaciones que dependen cada vez mas de las computadoras. Gran parte de los problemas se encuentra en la inacción de la víctima potencial por desconocimiento o por no haber tomado las medidas preventivas. el derecho relacionado al uso de la información por computadora. Los sistemas de seguridad se han creado para proteger nuestra intimidad y otros derechos individuales. para lo que sin lugar a dudas será una de las ramas del derecho de mayor desarrollo en los próximos años. Sin embargo. deben llegar a tener conciencia de que la implantación de medidas de seguridad mas que un gasto. esto crea nuevas e inquietantes preguntas para los abogados a veces difíciles de responder. por tal motivo es necesario prevenir al público en general sobre la realidad de este nuevo fenómeno delictivo y crear conciencia sobre la importancia de delinear e implementar políticas y medidas de seguridad de manera integral en las entidades y personas que manejan información. Se está haciendo aportes a la doctrina jurídica para que tanto los abogados como otras personas interesadas tengan una fuente a donde acudir. Los estándares de seguridad (tales como la encriptación) y libertad de las computadoras generan importantes problemas de carácter jurídico legal y ético. en ocasiones estos procedimientos de seguridad amenazan dichos derechos. identificarlos. alta tecnología y otras infracciones relacionadas.

pueda tener mayor relevancia y. El escrutinio cuidadoso de estas áreas revelará que ninguna de ellas es. programas y dispositivos físicos) encaminados a lograr que los recursos de computo disponibles en un ambiente dado. tengan acceso única y exclusivamente quienes tengan la autorización para hacerlo. dándose a conocer al mundo y estableciendo una comunicación integral entre clientes actuales y potenciales. Para que una organización logre una inmersión exitosa. Ahora bien. La computadora es un instrumento que maneja grandes volumenes de información. consecuentemente. y la seguridad de los datos. se requiere un enfoque amplio que abarque cierto número de aspectos relacionados entre sí de manera metódica. de importancia exclusiva. por sí sola. La seguridad debe ser tratada como una línea y como una función Instituto Nacional de Estadística e Informática 9 . debe estar acorde a la globalización de la información. Sin embargo es posible dar una aproximación a la definición y se puede decir que la seguridad es el conjunto de recursos (metodologias. Estamos en la era del procesamiento distribuido o interconectividad informática. Seguridad de la Información Definir la seguridad de la información es complejo. el cual abarca metódicamente todas estas áreas se denomina Seguridad Total. no realizan controles adecuados en el uso de los mismos. los cuales pueden ser mal utilizados por personas intrusas o no autorizadas. organizada y controlada de las políticas y procedimientos de seguridad física y lógica de la organización como así también de los recursos involucrados para la consecución de los objetivos de la compañía. si se comporta como los usuarios esperan que lo haga”. como son: el acceso físico. Actualmente el concepto de centralización de la información puede considerarse antiguo. La complejidad creciente y el alcance del uso de las computadoras en una organización ha propiciado que los sistemas de almacenamiento y divulgación de información se encuentren en manos de unas cuantas personas. documentos. salvo algunos casos excepcionales. Tomando en cuenta los párrafos anteriores. Pero puede darse el caso que en una instalación específica. este enfoque parecía funcionar cuando las operaciones de cómputo de una entidad estaban centralizadas.Seguridad de la Información 2. debido a la gran cantidad de factores que intervienen. hoy en día esta situación ha cambiado. agrupándolos convenientemente. puesto que cada sector que necesita información al instante debe contar con un terminal eficiente. El enfoque propuesto. La actualidad exige nuevas técnicas del manejo de información que agilice el intercambio de datos. El punto de vista tradicional sobre seguridad otorga mayor atención a los aspectos de seguridad clásicos. y no solicitar los datos al centro de cómputo y esperar que el personal a cargo se la otorgue. es decir. las cuales al efectuar su trabajo y concentrarse más que nada en ello. requerir mayor atención. Sin embargo si se incurre en el error de excluir una de estas áreas se dejaran vacíos o poros en las estructuras referentes a administración y control de la seguridad. Esto indica que en toda organización debe existir un sistema de Seguridad de Información y un personal responsable que este a cargo de la dirección para la aplicación adecuada. en estos sistemas. Existe una medida cualitativa para la seguridad que dice: “Un sistema es seguro. metódica.

programas de seguridad y los presupuestos relacionados a la seguridad. ! Determinar los requisitos de recursos especiales. ! Asegurar que los proyectos asignados esten alineados con los objetivos de seguridad corporativa y sean completados de acuerdo con el programa dentro de los gastos consignados. tales como recursos humanos. programas y gastos. Se tendrá cuidado de no asignar responsabilidades al administrador que son propiamente de la gerencia. ! Dirigir auditorías de seguridad. participar en evaluaciones de seguridad y proveer guía y asistencia.Seguridad de la Información personal de la organización. ! Analizar continuamente y evaluar las alternativas de seguridad para determinar que línea de acción debe seguir basada en las implicaciones técnicas. para facilitar la realización de los programas de protección del patrimonio de la institución. La función básica del director de seguridad de la información es ayudar a la gerencia a hacer que su propia seguridad sea fácil de llevar. ! Supervisar el uso de todos los sistemas en línea para descubrir y actuar sobre los accesos desautorizados. 10 Instituto Nacional de Estadística e Informática . procedimientos y requerimientos. ! Revisar los esfuerzos de documentación asociados con diversos sistemas de seguridad. informar a la gerencia tan pronto como sea posible de los problemas que podría materialmente afectar los objetivos. sugerir soluciones alternativas. y uso de los datos del propietario del negocio. capacitación. ! Establecer objetivos para el desarrollo futuro de los sistemas de seguridad a medida que vayan evolucionando los sistemas en línea. A continuación se presenta una lista de principales funciones para el responsable de la seguridad de la información : ! Proveer un apoyo administrativo directo para la instalación de los sistemas de seguridad que aseguren el uso de todos los sistemas en línea. como es debido. Debe haber consenso de que la misma involucre a toda la compañía nivel por nivel. equipamiento y planes de desarrollo. conocimiento de los objetivos del negocio y la política de protección de activos corporativos. ! Negociar con niveles múltiples de programación de apoyo de la gerencia para asegurar la integración de los objetivos de seguridad asignados. con la estrategia de procesamiento de datos a largo alcance.

teléfono por computadora. por ejemplo. el intervalo de un mes necesario hace cien años para enviar un mensaje de Europa a América. con los pocos segundos que bastan hoy empleando correo electrónico o fax. que permite su tratamiento informático. muestran que es posible capturar. Instituto Nacional de Estadística e Informática 11 . la consecuencia va a ser la alteración de muchos aspectos fundamentales de la estructura y las funciones de la sociedad. de proceso y de almacenamiento de datos. y las Telecomunicaciones llegan a todas partes y permiten la transmisión de grandes cantidades de información. el trabajo y el ocio. el teléfono y la informática más de cien. sólo aliviado para las situaciones de proximidad física. Se está pasando de una situación en que la información era difícil de obtener y de manejar. En este tiempo. la Informática y las Telecomunicaciones no son nuevas tecnologías. tipo. electrónica y telecomunicaciones. la propiedad. a otra totalmente opuesta. las tres tecnologías se pueden utilizar en coordinación. por primera vez. Las Tecnologías de la Información en la Actualidad La situación actual de las "Tecnologías de la Información". la relación social se apoya en la comunicación. la enseñanza. El telégrafo tiene 150 años. y poniéndolas en el mercado a precios reducidos. de tal forma que los límites entre una y otra empiezan a resultar difusos: televisión por cable. sí es posible identificar qué aspectos sociales se van a ver afectados. los símbolos. informática. La influencia de todas ellas en la actividad social resulta evidente. gracias a la extensión de las redes por cable y por ondas. porque era necesario un transporte del soporte material de la información. Aunque es difícil predecir en detalle las consecuencias. Compárese. Como sabemos. Esto ha sido durante mucho tiempo difícil y costoso. Tras ese período de desarrollo paralelo. la Electrónica. administrativas e industriales. velocidad. estas se han ido desarrollando progresivamente en el último siglo y medio. porque las distintas tecnologías han llegado a un punto de convergencia en el cual se aplican sinérgicamente (sinergia: acción concertada de varios órganos para realizar una función) y de forma generalizada. la Electrónica ha conseguido enormes capacidades de cálculo. la televisión y los circuitos integrados unos cincuenta. técnicas eficientes de codificación y compresión de datos.Seguridad de la Información 3. la Informática permite ofrecer programas eficaces para aplicaciones personales. Ahora se puede notar que los cambios están ocurriendo a un ritmo especialmente rápido. en este último lustro han llegado a un punto de convergencia en el cual. distancia y costo. procesar y transmitir información con muy pocas limitaciones en cuanto a volumen. La clave de esta sinergia está en la digitalización de las telecomunicaciones. habrá que pasar igualmente de una cultura de escasez a otra de abundancia de información. almacenar. Internet. incidiendo directamente en el modo de entender de los grupos sociales. teletexto. Si hacemos un análisis previo.

El sistema nervioso. por el que sólo circula la información. ! Integridad: Se define como la "condición de seguridad que garantiza que la información es : modificada. entidades o procesos no autorizados". A menudo se la relaciona con la Intimidad o Privacidad. La integridad está vinculada a la fiabilidad funcional del sistema de información (la eficacia para cumplir las funciones del sistema de organización soportado por aquél). incluyendo su creación y borrado. fiable y no propensa a alteraciones no deseadas. Los microprocesadores se pueden hallar en cada dispositivo mecánico y electrónico. La información debe ser accesada y manipulada únicamente por quienes tienen el derecho o la autoridad de hacerlo. Estamos experimentando una avalancha de innovación caracterizada no tanto por una tecnología o ciencia única. La información debe ser consistente. resulta mucho más ágil y permite funciones mucho más complejas.Seguridad de la Información Un ejemplo que ilustra adecuadamente las diferencias en los elementos de comunicación es el siguiente: El sistema hormonal. sino más bien por el conjunto de varias tecnologías y servicios que se complementan. En esta sociedad esta criticidad emerge de: " La creciente dependencia de información y en los sistemas que proporcionan dicha información " La creciente vulnerabilidad y un amplio espectro de amenazas " La escala y el costo de las inversiones actuales y futuras en información y Tecnologías de Información " El impacto de las tecnologías de información para cambiar las organizaciones y las prácticas del negocio. representan los activos mas valiosos. a pesar de la falta de consenso sobre los productos o servicios específicos que tendrán éxito y por cuánto tiempo. la información y la tecnología que la soporta. teclados y lenguajes sencillos que han hecho posible la diversidad. y un elemento crítico para el éxito y la supervivencia de las organizaciones es la administración efectiva de la información y las tecnologías de la información relacionada. que provee control y memoria. basado en sustancias que viajan de una parte del organismo a otra por distintas vías. En el centro de esta innovación tecnológica se encuentra el microprocesador. el manejoy acceso cada vez masivo y menos especializado. crear nuevas oportunidades y reducir costos. Tecnologías y servicios Si hacemos un resumen de lo expuesto anteriormente podemos decir que las técnologías de información y comunicación siguen evolucionando rápidamente. es limitado en cuanto a velocidad y capacidad. Producto de este desarrollo hoy contamos con programas mas accesibles y de facil utilización. Información y Tecnologías de la información Para muchas organizaciones . pantallas de contacto. Al constituirse la información en el recurso fundamental de toda organización requiere de esta cuente con un conjunto de medidads de seguridad orientados prioritariamente a proteger las siguientes propiedades de la información. sólo por el personal autorizado". supera esas limitaciones. desde las unidades de control (por ejemplo: señales de tráfico) hasta artefactos domésticos como el horno microondas. ! Confidencialidad: Se define como la "condición que asegura que la información no pueda estar disponible o ser descubierta por o para personas. Un ejemplo de ataque a la 12 Instituto Nacional de Estadística e Informática .

El concepto de calidad de la información de no fallas. Se debe establecer un sistema para identificar a las personas o usuarios (Gestión de la identificación) Se debe definir un sistema para autentificar al usuario (uso de contraseñas). y que para cada usuario se haya definido una tabla de permisos.Seguridad de la Información Integridad es la modificación no autorizada de saldos en un sistema bancario o de calificaciones en un sistema escolar. Como ejemplo podemos mencionar la presencia de los “hackers” o intrusos. Los privilegios pueden darse individualmente a una persona o bien a un grupo de personas con las mismas características. el sistema comprobará que este autenticador corresponde al identificador indicado (Autenticación). confiable. ! Autenticación: Se define como "el mecanismo que permite conocer si la persona que esta : accediendo a un sistema. considerando que se traslapa con el aspecto de disponibilidad relacionadas a la seguridad y tambien en alguna medida relacionada a la efectividad y eficiencía. o que su nivel y categoría le permiten realizar la acción demandada. realizar la operación pertinente para demostrar que es quien dice ser (dar su contraseña) y. Para poder salvaguardar las características y propiedades de la información. base de datos y/o algoritmo que nos permita verificar que al persona tiene o no autorización para realizar la acción demandada (Autorización). La información debe estar en el momento que el usuario requiera de ella. Se asocia a menudo a la fiabilidad técnica (tasa de fallos) de los componentes del sistema de información. También hay sistemas en los que un usuario normal da la autorización a un tercero sin la necesidad del administrador de seguridad. etc. " " El administrador de seguridad será el encargado de introducir los datos de los privilegios al sistema. momento y forma en que es requerido por el usuario autorizado. Situación que se produce cuando se puede acceder a un Sistema de Información en un periodo de tiempo considerado aceptable". que el sistema verificará si la tiene en sus tablas (Comprobación del Identificador). es realmente quien debe acceder y no un extraño". ! Disponibilidad: Se define como el "grado en el que un dato está en el lugar. Se refiere también a los mecanismos que se utilizan por ejemplo en temas como el correo electrónico para garantizar la autenticidad del remitente (un mecanismo son las firmas digitales). Cuando el usuario intente acceder a un recurso. el sistema verificará si este usuario tiene o no el permiso correspondiente. Los medidas y políticas de seguridad implementadas en la organización deben eliminar toda posibilidad que los datos puedan ser modificados. Un ataque a la disponibilidad es la negación de servicio proveniente de un centro de información.se encuentra incluido en esta propiedad. será necesario tener algunas consideraciones como : " Para leer datos y modificar un registro. deberá dar su identificación. Instituto Nacional de Estadística e Informática 13 . Por lo tanto será preciso identificar a la persona o usuario (Identificación) de forma totalmente fiable (Autenticación o Verificación). será necesario saber de quien se trata y si la persona está autorizada. Cuando el usuario intente entrar en el sistema. y consultar un archivo.

Windows NT lleva buen tiempo funcionando y todavía se descubren errores de seguridad. y todo lo demás. aumentará el número de errores. Amenazas a la seguridad de la Información Se define como amenaza. dependiendo del diseñador del sistema de seguridad. un problema de Java. una revisión de seguridad no puede demostrar que el producto sea realmente seguro.Seguridad de la Información 4. Todos sabemos que las pruebas son esenciales. una vulnerabilidad en Windows o UNIX. y en alguna medida inseguros. Vulnerabilidad De Los Sistemas Informaticos Es frecuente que cada semana la prensa especializada en los sistemas de información hablen de otro fallo de seguridad: un virus que se aprovecha de las macros que manejan las herramientas del Office de Microsoft. Así como la prueba funcional no puede demostrar la ausencia de errores. Una forma común de "probar" la seguridad es realizar revisiones de seguridad. Pensemos en el supuesto que un producto de software se desarrolla sin ninguna comprobación funcional en absoluto. Tomemos el siguiente ejemplo: Una revisión de seguridad de la versión 1.1. Se escribe el código. Ninguna comprobación funcional de las versiones alfa o beta. los sistemas operativos son más grandes. y se envía. están aumentando a un ritmo creciente. diseño. código fuente. tienen más características. un agujero de seguridad en una de las páginas principales de Internet. Una revisión debe cubrir especificación. podría dar lugar a que se produzca una violación de la seguridad (confidencialidad. Las posibilidades de que este programa simplemente funcione incluso dejando de lado que esté libre de errores es cero. se compila. 4. Los productos se vuelven más complejos cada año. aplicación. más compleja se vuelve una evaluación de seguridad y posiblemente habrá mas fallos de seguridad. 14 Instituto Nacional de Estadística e Informática .1. Esto es un proceso manual costoso y requiere de un tiempo. Y cuanto más complejo sea el sistema. a una condición del entorno del sistema de información (persona. No es suficiente comprobar los protocolos de seguridad y los algoritmos de cifrado. funcionamiento. dada una oportunidad. disponibilidad o uso legítimo). Los sistemas se están convirtiendo en más y más complejos. El incremento en el uso de las computadoras y la convergencia en Internet. A medida que aumenta la complejidad del producto.0 dice poco sobre la seguridad de la versión 1. Una revisión de seguridad de un producto del software aislado no sirve necesariamente para el mismo producto en un ambiente operacional. La política de seguridad y el análisis de riesgos habrán identificado las amenazas que han de ser contrarrestadas. máquina. más interacciones entre los diferentes programas en Internet. integridad. suceso o idea) que. un ataque contra un popular cortafuegos.

! Interceptación: Una entidad no autorizada consigue acceso a un recurso. Control del volúmen de tráfico intercambiado entre las entidades controladas. cortar una línea de comunicación o deshabilitar el sistema de gestión de archivos. obteniendo así información acerca de actividad o inactividad inusuales. leyendo las cabeceras de los paquetes controlados. es posible evitar su éxito mediante el cifrado de la información y otros mecanismos que se verán más adelante. para obtener información que está siendo transmitida. Ejemplos de este ataque son la destrucción de un elemento hardware. Estos ataques se pueden asimismo clasificar de forma útil en términos de ataques pasivos y ataques activos. Ataques pasivos En los ataques pasivos el atacante no altera la comunicación. una técnica más sutil para obtener información de la comunicación. Ejemplos de este ataque son la inserción de mensajes triviales en una red o añadir registros a un archivo. Los ataques pasivos son muy difíciles de detectar. ya que no provocan ninguna alteración de los datos. sino que únicamente la escucha o controla. Ejemplos de este ataque son tan simples como hacer click en una línea para tomar los datos que circulan por la red y la copia ilícita de archivos o programas (interceptación de datos). Este es un ataque contra la disponibilidad. Un ataque no es más que la realización de una amenaza.Seguridad de la Información Las amenazas a la seguridad en una red pueden presentarse en el flujo de información desde una fuente ( como por ejemplo un archivo o una región de la memoria principal) a un destino (como por ejemplo otro fichero o un usuario). ! Modificación: Una entidad no autorizada no sólo consigue acceder a un recurso. 15 Instituto Nacional de Estadística e Informática . modificación el contenido de mensajes que están siendo transferidos por la red entre otros. alteración de un programa para que funcione de forma diferente. o bien la lectura de las cabeceras de paquetes para desvelar la identidad de uno o más usuarios implicados en la comunicación observada ilegalmente (interceptación de identidad). como un disco duro. Las cuatro categorías generales de amenazas o ataques son las siguientes: ! Interrupción: Se produce cuando un recurso del sistema es destruido o se vuelve no disponible. ! Fabricación: Una entidad no autorizada inserta objetos falsificados en el sistema. sino que es capaz de manipularlo. Sin embargo. La entidad no autorizada podría ser una persona. Este es un ataque contra la autenticidad. Ejemplos de este ataque son el cambio de valores en un archivo de datos. un programa o una computadora. Control de las horas habituales de intercambio de datos entre las entidades de la comunicación. consiste en: " " " " Obtención del origen y destinatario de la comunicación. Este es un ataque contra la integridad. Sus objetivos son la interceptación de datos y el análisis de tráfico. Este es un ataque contra la confidencialidad. para extraer información acerca de los períodos de actividad.

! Modificación de Mensajes: Una porción del mensaje legítimo es alterado. pudiendo subdividirse en cuatro categorías: ! Suplantación de Identidad: El intruso se hace pasar por una entidad diferente. o la creación de un falso flujo de datos. Dentro de esta galería de personajes podemos nombrar a los sencillos internautas. o los mensajes son retardados o reordenados.Seguridad de la Información Ataques activos Los ataques activos implican algún tipo de modificación del flujo de datos transmitido. Entre estos ataques se encuentran los de negación de servicio. permitiendo a una entidad no autorizada acceder a una serie de recursos privilegiados suplantando a la entidad que posee esos privilegios. pero una pequeña minoría se pasa largas horas tratando de romper los sistemas de seguridad. debido a que se penso en una estructura simple “cuando se creó Arpanet”. esto es posible al sustraer la contraseña de acceso a una cuenta. secuencias de autenticación pueden ser capturadas y repetidas. que describiremos a continuación. Web. los Hackers. principalmente internautas que se pasan largas horas delante de la computadora buscando atractivas imágenes. con el único fin de lograr sus objetivos basados en satisfacciones personales. ! Degradación fraudulenta del servicio: Impide o inhibe el uso normal o la gestión de recursos informáticos y de comunicaciones. No existe ningún tipo de seguridad en la gran red de redes. el mensaje “Ingresa 10 mil soles en la cuenta A” podría ser modificado para que diga “Ingresa 100 mil soles en la cuenta B”.2 Amenazas por Internet Los peligros por Internet son cada vez mas complejos y van en aumento tal es así que los sistemas de seguridad se ven minimizados por la presencia de nuevos virus y personas con un alto conocimiento de Informática capaces de burlar cualquier sistema de seguridad teniendo como lugar de refugio a Internet. 4. como por ejemplo ingresar dinero repetidas veces en una cuenta dada. los que lo consiguen simplemente se llenan de alegría. En Internet existen. Por ejemplo. Por ejemplo. otros buscan temas de entretenimiento y diversión. ! Repetición Indeterminada: Uno o varios mensajes legítimos son capturados y repetidos para producir un efecto no deseado. otros simplemente buscan algún tipo de información para terminar un trabajo. etc. para producir un efecto no autorizado. Por ejemplo. una diminuta minoría se queda en el lugar y altera todo lo que ve a su paso. 16 Instituto Nacional de Estadística e Informática . Entrar en un lugar supuestamente “seguro”. el intruso podría suprimir todos los mensajes dirigidos a una determinada entidad o se podría interrumpir el servicio de una red inundándola con mensajes triviales. Normalmente incluye alguna de las otras formas de ataque activo. consistentes en paralizar temporalmente el servicio de un servidor de correo. Crackers o los Lamers entre un conjunto de intelectuales expertos en temas informáticos. FTP.

Después se pone en contacto con esta persona y trata de sacarle la idea. pero con intenciones que van mas allá de experimentar en casa. Instituto Nacional de Estadística e Informática 17 . que prueba y modifica las cosas que tiene entre sus manos y se pasa largas horas pensando en ello. Es como una especie de profesor que tiene a sus espaldas unas cuantas medallas que lo identifican como el mejor de su serie. Suelen leer todo lo que hay en la Red y las revistas técnicas en busca de alguna persona que sabe algo. Los Gurús Son los maestros y enseñan a los futuros Hackers. Normalmente lee demasiadas revistas y estudia pesados libros de técnica. las computadoras. enviando bombas lógicas o Virus por la Red. Cuando lo consigue. Normalmente se trata de personas adultas. Estas personas quieren vivir del cuento y son obsesivas. Existen dos tipos de Hackers. Los Lamers Estos personajes son peligrosos. llevarlo a cabo y vendérselo a otra persona denominado “bucanero”. que se dedica única y exclusivamente a destruir sistemas electrónicos o informáticos. Alcanza satisfacción cuando logra destruir un sistema y esto se convierte en una obsesiva compulsión y aprovecha la oportunidad para demostrar al mundo de sus conocimientos y que son capaces quebrantar los sistemas de seguridad. la telefonía celular. El primero de ellos practica con las computadoras. los Hackers en si y los Hardware Hackers. que tienen amplia experiencia sobre los sistemas informáticos o electrónicos y están de alguna forma allí. Si cae en sus manos un programa generador de Virus. lo suelta en la red sin comprender el daño que puede causar. Al Hacker le entusiasma todo lo que rodea la tecnología. porque la mayoría de Hackers son personas jóvenes. este. el segundo con la electrónica. ya que le son útiles tener conocimientos electrónicos e informáticos. Los Crackers Los Crackers en realidad son Hackers.Seguridad de la Información Hacker El Hacker es una persona con conocimientos de electrónica e informática. las tarjetas de crédito electrónicas o los Satélites. Es el típico tipo que se pasa la vida “ molestando“ a los demás. no tienen conocimientos y creen tener el mundo en sus manos. Obtienen lo que les interesa y se lo venden a alguien sin escrúpulos que comercializará el sistema posteriormente. pero absorbe conocimientos ya que sigue practicando para conocimientos propios y solo enseña las técnicas mas básicas. para enseñar o sacar de cualquier duda al joven aprendiz. Los CopyHackers Pertenecen a una nueva generación de falsificadores. no tiene escrúpulos en copiarlo. El gurú no esta activo. Pero ambos conocen bastante ambos extremos.

incluso mas que los propios técnicos de las compañías telefónicas. Es el típico tipo. por que venden los productos comprados a los Copy Hackers productos como ultimos programas de aplicación crackeados. sin embargo. El bucanero compra al CopyHacker y revende el producto bajo un nombre comercial. El Newbie Que significa novato. Una vez copiado el programa lo vende. Phreakers Son individuos con amplios conocimientos de los sistemas de telefonía. Estos tipos han sabido crear todo tipo de cajas de colores con una función determinada. se introduce en un sistema fácil y a veces fracasa en el intento. Y al final nunca logra nada. Piratas informáticos A menudo confundidos con Hackers. ya que emula el tono de 2600 Hz para desactivar el contador de la centralita. ya que suelen operar desde cabinas telefónicas o móviles. De lo contrario se sumergiría en una grave depresión. Nos detendremos a estudiar los diferentes tipos de virus y analizaremos algunos de ellos.3 Virus Informáticos Una de las principales amenazas de la red mundial son los virus. Otros virus. persona que aprende lentamente. Actualmente se preocupan mas de las tarjetas prepago. pero si de negocios. como para 18 Instituto Nacional de Estadística e Informática . además poseen funciones de modificaciones en los principales ficheros del sistema operativo de la computadora. son capaces de autocopiarse en otro archivo al que ocupa. Por ejemplo la caja azul permite realizar llamadas gratuitas. porque ya no se acuerda de ciertos parámetros y entonces tiene que volver a visitar la pagina web para seguir las instrucciones de nuevo. los piratas informáticos son aquellos que simplemente hacen click sobre el icono copiar a disco. posee paciencia y actitud positiva. El programa y la grabadora hacen el resto del trabajo. simple y nada peligroso. Wannaber Toda aquella persona que quiere ser Hacker. Este es quizás el mas peligroso de todos en cuanto a derechos de copyright. que de estas cajas. En realidad es un empresario con mucha obsesión a ganar dinero rápido y de forma desonesta. Pero los hay también benignos que solo muestran mensajes en la pantalla. Este método bloquea y llena el disco duro de una PC. ya que estafa y crea copias ilegales de soportes audiovisuales. Suelen ser personas sin ningún tipo de conocimientos ni de electrónica ni de informática. no consigue aprender nada y se exprime al máximo.Seguridad de la Información Los bucaneros Se trata de comerciantes. que son programas capaces de autoreplicarse o dicho de otra manera. pero su capacidad intelectual y conocimientos es insuficiente. 4.

En este momento el virus no se manifiesta. este entra en actividad destructora. incubación y reproducción. El virus debe ir incrustado en un archivo de instalación o en una simple pagina WEB a través de los cookies. Las vías de infección son también principalmente los disquetes. en la computadora del creador como subprograma o microprograma ejecutable. Cuando se llega a este punto el trabajo ha culminado. El ataque es el escalón final del trabajo del virus. según el tipo de virus. Además. Solo hay que tener en cuenta que el virus debe introducirse o “soltarse” en la red. incubación replicación y ataque. De esta forma el virus se contagia en otros archivos y otros programas. que se situará en otro archivo distinto al que ocupa. programas copiados. Aquí es donde formatea el disco duro o borra archivos con extensión COM o EXE por citar algunos ejemplos. Podemos instalar de nuevo el software. asegurándose de que el proceso de multiplicación esta asegurado. La incubación Generalmente los virus se crean de formas especificas que atienden a una serie de instrucciones programadas como el “esconderse” y “reproducirse” mientras se cumplen unas opciones predeterminadas por el creador del virus. los virus poseen un proceso de creación. ya que solo se instala en todos los lugares posibles. El ataque Cuando se cumplen las condiciones. Instituto Nacional de Estadística e Informática 19 . Los virus poseen unas particularidades que los hacen perfectamente reconocibles por la forma en que trabajan. Solo de esta forma. el virus permanece escondido reproduciéndose en espera de activarse cuando se cumplan las condiciones determinadas por el creador. Internet o el propio correo electrónico. pero de nuevo tendremos la destrucción de nuestra unidad nada mas se cumplan los acontecimientos antes citados. efectuadas por el creador del virus. La computadora se encuentra infectada y si no se dispone de un programa que elimine el virus. Después se “suelta” en la red o se copia dentro de un programa comercial de gran difusión. jamas se podrá recuperar los archivos. Así. el virus asegura su extensión a otras computadoras y debe hacerlo de la forma mas discreta y rápida posible. Tiempo de vida Los virus se crean o nacen.Seguridad de la Información tenerlos en cuenta. Estos programas capaces de destruir el virus. Este proceso puede ser muy rápido en algunos casos y bastante largo en otros. se denominan vacunas antivirus. vienen las fases mas importantes tales como contagio. El contagio El contagio es quizás la fase mas fácil de todo este arduo proceso. Después de esta primera fase de creación. para asegurar un contagio rápido y masivo. hay mas posibilidades de dañar un mayor numero de computadoras. La replicación La replicación consiste en la producción de una copia de si mismo.

estos virus son capaces de cambiar de estado o la propia cadena de datos. Otras formas de Virus Informáticos A la lista de virus anteriormente comentados podemos añadir algunos mas que revisten importancia por su presencia en Internet : Los caballos de Troya Son programas que normalmente ocupan poco espacio y se ocultan a voluntad en el interior de un ejecutable.3. Este subprograma se coloca en un lugar seguro de la maquina para no ser detectado y no modifica nada de los archivos comunes de la computadora y cuando se cumplen unas especificaciones determinadas el subprograma muestra unos mensajes que sugieren o piden la contraseña al usuario de la maquina. Estos virus pueden estar encriptados y muy bien repartidos por decenas de ficheros. estos virus de Boot. mediante un sniffer. era algo mas que una tarea lenta y ardua.Seguridad de la Información 4. con el fin de no ser descubiertos. con lo cual se convierten en los virus mas peligrosos. que infectan extensiones ejecutables.3.2. ya que solo se contagiaban a través de disquetes. Para no ser detectados. el virus se instalaba en la memoria RAM antes que los ficheros del sistema INI. Virus multiparte. El modo de funcionamiento es básico. El Hacker lo que debe de hacer ahora es “ capturar “ ese mensaje y descifrar su propio código. estos virus están conformados a base de Virus tipo boot que operan desde la memoria y virus de Fichero. tras copiar el password.1. Antes. En otros casos simplemente lee el password cuando nos conectamos a la red. un Instituto Nacional de Estadística e Informática 20 . esto es. Entre algunos tipos de Virus conocidos podemos mencionar: " Virus de arranque o Virus de Boot. la distribución o infección de los virus. Los virus de Macro están mas elaborados y son virus escritos a partir del macrolenguaje de una aplicación determinada. Virus polimórficos. pero a causas naturales actúa como tal. El mensaje es fácilmente capturado. " • • 4. Virus de Macro. Estos Virus también pueden burlar los modernos métodos heurísticos de búsqueda de los programas antivirus. Tipos de virus Informáticos Internet aporta. De esta forma el mismo Virus puede verse dividido en varias secciones repartidas en varios ficheros. al arrancar la computadora. dado que pueden ser programas largos. Los Virus de boot o de arranque eran hasta los 90 los típicos virus que infectaban el sector de arranque del disco y estos eran introducidos a la computadora a través de disquetes. este se encripta y se envía por correo electrónico adjunto. lo que se podría decir una vía rápida de infección de este tipo de programas dañinos. se copiaban a si mismos en otro lugar del disco duro.

ya que los spam son empleados normalmente por empresas de publicidad directa. pero actúan de forma diferente. Existen dos definiciones del mismo acrónimo o programa asociado. Una es la de crear un subprograma que se active después de un tiempo llenando la memoria de la computadora y otra es la de colapsar nuestro correo electrónico. pero los mas expertos emplean caballos de Troya mas inteligentes. De cualquier forma ambas son dañinas. tras ese periodo de espera el programa se activa y se autoreplica como un virus hasta dañar nuestro sistema. En cualquier caso existen programas antispam. Los programas antivirus no están preparados para detectar estos tipos de bombas lógicas. al igual que un virus las bombas lógicas están especialmente diseñadas para destruir o alterar información. Los Spam No se trata de un código dañino. que lo que hacen es reenviar o “ desviar “ el mensaje a una dirección del Hacker sin que el usuario se de cuenta. Las Bombas Lógicas Son programas dañinos realizados por los Crackers. En la primera referencia.. Así un “ gusano “ de 866 Kbytes. Normalmente en el correo electrónico. alguien nos envía una bomba lógica por e-mail que no es sino que un mismo mensaje enviado miles de veces hasta colapsar nuestra maquina. Así un mensaje puede ser enviado varias cientos de veces a una misma dirección. Se trata de un simple programa que ejecuta una orden repetidas veces. puede convertirse en una cadena de ficheros de miles de Megas. pero si bastante molestoso. que a su vez puede destruir información. este se instala en nuestra computadora después de ser bajado junto a un mensaje de e-mail.Seguridad de la Información programa de monitorización en la red. pero existen programas que pueden filtrar la información repetida. Instituto Nacional de Estadística e Informática 21 . Los gusanos “ Worm “ Son programas que se copian en archivos distintos en cadena hasta crear miles de replicas de si mismo y tienen como única misión la de colapsar cualquier sistema. Se incuba sin crear ninguna copia de si mismo a la espera de reunir las condiciones oportunas. En el caso segundo.

5.1 Alcances de los Firewalls • Proporciona un punto donde concentrar las medidas de seguridad. estos se pueden programar para que automaticamente encripten paquetes que son enviados sobre la red entre ellos.1. Un Firewalls (cortafuegos) permite restringir la entrada/salida de los usuarios aun punto que puede controlarse cuidadosamente. • Permite restringir fácilmente el acceso o la salida desde/hacia determinadas maquinas. Abordaremos brevemente algunos mecanismos de seguridad que están cobrando importancia en la actual sociedad de la información. Debido a que un firewall se coloca en la intersección de dos redes. Uno de los problemas es que no todas las personas que accesan al servidor a través de Internet se presentan con buenas intenciones. no puede solucionar todos los problemas de seguridad y debe utilizarse junto a otras medidas internas de seguridad. El Firewalls a menudo se instala en el punto de conexión de nuestra red con la Internet. este puede ser usado para muchos otros propositos además de simplemente controlar el acceso. o para prevenir a ciertos usuarios o maquinas acceder a determinados servicios o servidores. 5. Dado estos problemas es necesario plantearse un conjunto de estrategias a fin de minimizar la vulnerabilidad de los sistemas y redes de computo. 22 Instituto Nacional de Estadística e Informática . existen intrusos que se conectan buscando información a la que no tiene acceso en forma licita. • Ayuda a llevar a cabo la política de seguridad. Un cortafuegos permite que sólo un tipo específico de mensajes pueda entrar y/o salir de la red interna. Sistemas de Seguridad INTERNET no es solamente salida al mundo. Esto protege a la red interna de los piratas o hackers que intentan entrar en la red a través de Internet. por lo tanto los riesgos de seguridad en la red crecen a diario y el número de usuarios que accesan al servidor de una organización se incrementan en forma acelerada. Puede ser empleado para monitorear las comunicaciones entre una red interna y la externa Si la organización cuenta con mas de una localización física y se tiene un firewall para cada localización.Seguridad de la Información 5. mencionamos algunos ejemplos: " " " Los Firewalls pueden ser usados para bloquear el acceso a sitios particulares en INTERNET. • Permite desactivar servicios que se consideran inseguros desde Internet. combinación de hardware y software que muchas empresas u organizaciones instalan entre sus redes internas y el Internet. sino es la entrada del mundo a nosotros . También permite que los atacantes puedan acercarse a nuestras defensas.1 Firewalls (Cortafuegos) Es un equipamiento.

No puede impedir la entrada de virus.) se pueden realizar aun mas facilmente desde la red interna. el texto no pueda ser descifrado sin la clave correcta. Esto. se enrollaba una tira de cuero. No puede impedir ni proteger conexiones que no pasan a través del firewall. ya que únicamente se necesitaban encriptar mensajes escritos. 5. La información confidencial no solo puede exportarse a través de la red. En otros lugares como Grecia. data de 4.2. No puede proteger contra nuevos tipos de ataque que no tiene catalogados. introducción de virus.1. buenos y malos emplean la criptografía para “esconder” sus mensajes. Instituto Nacional de Estadística e Informática 23 . etc. Aisla secciones internas de la red de otras.C. en el antiguo Egipto se emplearon sistemas criptográficos y prueba de ello son los jeroglíficos no estándar escritos en las paredes de las pirámides y algunas tumbas. y al desenrollarla. Funcionan abriendo un socket en el servidor y permitiendo la comunicación con Internet a través de él 5. los sistemas de cifrado se sostenían sobre la base de intercambiar las palabras de los textos. Estos empleaban un curioso artificio llamado “scytale” que consistía en un cilindro alrededor del cual. Programas como Netscape que requieren una conexión directa con Internet. El mayor problema de los cortafuegos es que restringen mucho el acceso a Internet desde la red protegida. no funcionan desde detrás de un cortafuegos. Encriptación Desde años atrás se buscó. aproximadamente en el año 500 a. la forma de cifrar u “ocultar “ un mensaje mediante técnicas reversibles. se podía ver una combinación de letras. Nótese que ya desde esa temprana edad. reducen el uso de Internet al que se podría hacer desde un terminal. conlleva a que si este es interceptado por alguien. aparentemente sin sentido alguno. Los sistemas criptográficos se han extendido en la Red. Las acciones indebidas sobre maquinas (accesos no autorizados. ya empleaban sistemas criptográficos. Cifrar un texto o mensaje. Básicamente. y por tanto se trataban de sistemas de cifrado clásicos.2 Limitaciones de los Firewalls • • • • • • • No puede proteger de enemigos internos. La solución a todos estos problemas es un Servidor Proxy. que conformaban un mensaje no descifrable. Tener que entrar en el cortafuegos y desde allí realizar todo el acceso a Internet es una restricción muy seria.000 años atrás y el sistema se basaba en figuras geométricas y dibujos. Si nos remontamos a la historia.Seguridad de la Información • • Permite el registro de información sobre la actividad entre la red interna y el exterior. Los servidores proxy permiten el acceso directo a Internet desde detrás de un cortafuegos. Se escribía un mensaje sobre la tira.

el RSA. esta. Sin embargo los sistemas criptográficos no experimentaron ni parada alguna ni mucho menos demora en sus sistemas de cifrado. De momento no se ha conocido apertura ninguna de este sistema. Los sistemas empleados por esas fechas indudablemente se basaban en métodos clásicos por sustitución. Sistemas altamente seguros. es el sistema PGP de Phil Zimmerman. El sistema DES fue el primero de los sistemas complejos. Shamir y Adelman se sacaban de la manga el sistema criptográfico de actualidad. Hasta la fecha el sistema esta siendo empleado por computadoras y sistemas de codificación de canales de televisión. sin embargo las nuevas computadoras del futuro. De esta forma se obtenían mensajes nada entendibles y durante su reinado y posterior el sistema nunca fue desencriptado por aquel entonces. ya que es el mas ampliamente utilizado por los navegantes. La maquina Enigma desarrollada por los alemanes a mediados de los 70 fue un duro golpe para el criptoanálisis y sobre todo para los expertos en sistemas criptográficos. nada fácil de solucionar. creado en 1991. Las grandes guerras impulsaron la creación de nuevos sistemas criptográficos mas potentes y difíciles de entender. que fue ampliamente utilizado durante la segunda guerra mundial por la armada de los Estados Unidos. Un sistema basado en buscar números primos. Pero el sistema no duraría mucho. A partir de esto los algoritmos y sistemas de criptografía experimentarían un interés ineludible. Poco después de los 70 aparecieron los sistemas criptográficos denominados modernos. Es curioso saber que hasta la propia Iglesia tenía que echar mano a sistemas criptográficos. el sistema criptográfico mas conocido en la red de Internet para todos los cibernautas. ese mismo año hacían la aparición estelar Diffie y Hellman. que debía. Pero lo que hace es jugar con ellos y así se obtienen brillantes encriptaciones realmente seguras. Un año después Rivert. ponen en manos de Hackers herramientas verdaderamente potentes que acabaran con todos estos sistemas criptográficos de gran seguridad. ya que se basaba en un sistema polialfabético y en 1861 se publicó la primera solución generalizada para resolver cifrados polialfabéticos. Así en 1976 el código DES hizo su aparición gracias al desarrollo de computadoras digitales. 24 Instituto Nacional de Estadística e Informática . Hoy por hoy el sistema objetivo por un gran numero de Hackers es el mencionado PGP. En el siglo XII. el sabio ingles Roger Bacon. poniendo fin a 400 años de silencio. cuando fue descifrado. Finalmente. pero introdujo la clave secreta. En 1467 León Batista Alberti invento el primer sistema criptográfico polialfabético y no fue hasta el siglo XVIII.Seguridad de la Información Julio Cesar también empleó un sistema de cifrado durante su reinado. Sin embargo hay que decir que este sistema criptográfico. creadores del primer sistema de cifrado basado en claves publicas. quien publicó en 1379 una compilación de sistemas a petición del Papa Clemente VII. ser muy guardada si se quería mantener la fuerza del sistema. Su sistema se basaba en sustituir la letra a encriptar por otra letra distanciada a 3 posiciones mas adelante. describió diversos métodos criptográficos al igual que Gabriel di Lavinde “quien inventó el sistema Nomemclator”. En 1790 Thomas Jefferson invento su cilindro de transposiciones. es un programa que reúne los sistemas criptográficos mas fuertes del mercado como el DSS o el de Diffie-Hellman. mas que eso.

Después de estos sistemas de cifrado enunciados.2. además los ficheros aparecerán encriptados y no podrán ser leídos por comandos estándares. Este mensaje debe ser reversible en el otro extremo igual que si no hubiera sucedido nada. Los sistemas de cifrado simétricos. porque ambos. pero en un texto normalmente no puedes adivinar nada. permite el uso de medios de transmisión poco seguros. que siempre se han empleado para cifrar textos o mensajes. tanto para el proceso de encriptación como para el proceso de desencriptación.1 Criptología Criptología es el arte de transformar un mensaje claro en otro sin sentido alguno.Seguridad de la Información 5. Si ciframos esta clave con otra clave. Inevitablemente nuestro trabajo corre peligro de ser capturado por alguien externo a nuestro deseo. En primer lugar tenemos los “métodos clásicos” y en segundo lugar “los métodos modernos”. que juegan con la alteración del orden lógico de los caracteres del mensaje.2 Criptografía Criptografía significa literalmente “escritura secreta”. son mas débiles que los sistemas de cifrado asimétricos. esto es así. Sin embargo los sistemas de cifrado asimétricos. Los métodos clásicos son aquellos que existieron desde siempre y son métodos desarrollados para cifrar mensajes escritos a mano o en maquinas de impresión. Es mas fácil encriptar un texto que una señal de video. Podemos impedir que un intruso entre en nuestro sistema. Un Hacker podría leer esta clave y emplearla para desencriptar el mensaje. 5. podemos encontrar otros no menos importantes. ya que la ultima clave revelaría siempre la clave oculta. El programa PGP de Zinmerman es una solución muy buena a nuestro problema. Los sistemas de cifrado simétrico y asímétricos son sistemas útiles para encriptar datos e información digital que será enviado después por medios de transmisión libres. para después devolverlo a su forma original. pero que sucede cuando tenemos que enviar algo a otro punto de la red. es la ciencia que consiste en “transformar un mensaje inteligible” en otro que no lo sea en absoluto. pero siempre resultara mas complicado desencriptar el texto que la señal de video. Los métodos clásicos se basan en la sustitución de letras por otra y en la transposición. Pero la criptología o los programas criptográficos no son toda la seguridad que se pretende crear. emisor y receptor deben de emplear la misma clave. De esta forma esta clave debe ser enviada a través de un medio de transmisión. Los métodos modernos son los ya mencionados sistemas simétricos o asímétricos. Así a los métodos clásicos se han dividido en dos grupos de cifrado. al emplear distintas claves. Existen a su vez diversos complementos que aumentan la seguridad de un terminal informático. Podríamos hacer una división en dos grandes familias. En una señal de video siempre puedes ver que sucede. sin que nadie que vea el mensaje cifrado sea capaz de entenderlo. Estos sistemas de cifrado son útiles para computadoras y equipos de impresión de textos. siempre estaríamos igual. son “métodos por sustitución” y “métodos por transposición”.2. Instituto Nacional de Estadística e Informática 25 .

esta simple forma de cifrar siempre ha obtenido buenos resultados. así .1 Sistemas de cifrados Dentro de los métodos clásicos podemos encontrarnos con varios sistemas como los que siguen a continuación: • Cifrado Cesar o monoalfabético Simple. Sustituir A B C D E F G H I J K L M N Ñ O P Q R S T U V W X Y Z Por Z C Q V A J G Ñ W N FB U M R H Y O D Y X T P E S L K Y empleando el mismo mensaje anterior quedaría de la siguiente forma . Cifrado por sustitución polialfabética. Esto supone un grado mas de complejidad en el método de cifrado anterior. Los métodos modernos se basan en combinar secuencias de dígitos creados de forma aleatoria con los dígitos del mensaje.2. Un ejemplo seria la siguiente . • • • • Cifrado monoalfabético General. Cifrado en figura Geométrica. Sustituir A B C D E F G H Y J K L M N Ñ O P Q R S T U V W X Y Z Por D E F G H Y J K L M N Ñ O P Q R S T U V W X Y Z C B A Así el mensaje: El Hacker acecha de nuevo. uedaría de la siguiente manera . Se sabe que Cesar empleaba una distancia de 3. 5.2. AF ÑZQNAO ZQAQÑZ VA UXATR 26 Instituto Nacional de Estadística e Informática . mediante puertas lógicas. en el caso de los módulos PRG sencillos. HÑ KDFNHU DFHFKD GH PXHYR El sistema de cifrado monoalfabético general Es un sistema que se basa en sustituir cada letra por otra de forma aleatoria. Este sistema de cifrado consiste en reemplazar cada letra de un texto por otra que se encuentre a una distancia determinada. El sistema de cifrado Cesar o monoalfabético simple Es un método extremadamente simple y fue empleado por los romanos para encriptar sus mensajes. de allí el nombre de Cesar. Cifrado inverso.Seguridad de la Información Los métodos por sustitución son aquellos que cambian palabras por otras. ya que fue en su reinado cuando nació este sistema de cifrado. Otros emplean algoritmos matemáticos de gran complejidad para permutar mensajes de cierta longitud de bits. Los métodos por transposición son aquellos que alteran el orden de las palabra del mismo mensaje.

Es normal escribir del revés cuando estamos aburridos. Este sistema es algo mas complejo que las anteriores y a veces resulta difícil descifrar mensajes cuando empleamos mas de diez columnas de palabras aleatorias. la resolución de estos sistemas se torno prácticamente trivial y por eso han surgido nuevos métodos de encriptación mas trabajados y seguros. ELHACK Si la clave es 6 3 1 5 4 2 KHECAL ERESTA AEETSR ALACEC CAAECL CHO OCH Como hemos podido ver. son capaces de trabajar con estas encriptaciones por la elevada velocidad de computación que presentan. pero lo cierto es que este es un sistema de cifrado. todos los métodos criptográficos clásicos emplean la misma clave para cifrar y descifrar un mismo mensaje. El hacker hacecha de nuevo ( oveun de ehceca rekcah le ) El sistema en figura geométrica El mensaje se empieza por escribir siguiendo un patrón preestablecido y se encripta siguiendo una estructura geométrica basado en otro patrón. se emplean varias cadenas de palabras aleatorias y diferentes entre si. Un ejemplo simple seria el que sigue: El HAC KER ESTA AL ACE CHO Patrón de cifrado . cuya computación es prácticamente inalcanzable o bastante compleja. ECALHKAHOACRECEATSE El método por transposición de filas Consiste en escribir el mensaje en columnas y luego utilizar una regla para reordenarlas. También aquí es importante saber la clave secreta para poder descifrar el mensaje. Este último patrón puede ser verdaderamente complejo según la extensión del mensaje escrito y la forma de seguimiento de la línea. para después elegir una palabra distinta según una secuencia establecida. El sistema de cifrado inverso Es quizás una de las formas mas simples de cifrar una imagen y es probablemente reconocida por todos nosotros. Un buen ejemplo sencillo es el que sigue. es indispensable disponer Instituto Nacional de Estadística e Informática 27 .Seguridad de la Información El sistema por sustitución Polialfabética Es un método que emplea mas de un alfabeto de sustitución. Mensaje cifrado . las tarjetas de acceso electrónicas. Aquí nacen las claves secretas basadas en números. En esta ocasión el mensaje puede estar fuertemente encriptado si se emplean textos relativamente largos. Esta regla elegida al azar será la clave para cifrar el mensaje. Con la llegada de las computadoras. Algunos de ello también basados en claves secretas. Tal como se ha dicho los métodos modernos son mas complejos de elaborar además de las computadoras. La forma de hacerlo es simplemente escribiendo el mensaje al revés. Al estar basados en complejas transformaciones matemáticas de una secuencia. Esto es.

Sistemas de cifrado de clave pública " RSA: Es quizás el sistema de cifrado mas empleado en la actualidad. Sin embargo según los Hackers todos los sistemas de seguridad tienen sus fallas y por lo tanto pueden dejar de ser seguros. El sistema se basa en los movimientos del Mouse que el usuario hace antes de la instalación del programa. empleados en la red de Internet. el sistema RSA se basa en la multiplicación de números primos. con una palabra de unos 200 bits. son capaces de cifrar palabras de mas de 128 bits y normalmente se cifran en bloques. 1029 bits. El garral: Parece un sistema español por lo menos por el nombre.Seguridad de la Información de memoria volátil y capacidad de procesamiento. Diffie – Hellman: Data de 1976 y se emplea fundamentalmente para el intercambio de claves. es bastante delicado enviar la clave que permite el descifrado de un mensaje. otro grupo de cifradores basados en claves secretas y un último grupo mas reciente y empleado en la televisión digital. Estos sistemas de cifrado modernos. El sistema permite utilizar documentos de diferentes tamaños. algoritmo que el Capitán Zap (hacker muy popular) consiguió romper. 768 bits. 512 bits. Aunque después de ello se dice que sigue siendo el sistema de cifrado mas fuerte del mundo. Para ello vamos a dividir la situación en tres grupos. Aunque aquí no vamos a detallar de nuevo estos sistemas criptográficos si vamos a enumerarlos. pero se sabe que se basa en transmutar la secuencia de los dígitos o bits. Las tarjetas de acceso inteligente de los telebancos también operan según esta clave. 2048 bits. El 28 Instituto Nacional de Estadística e Informática " " " . si el pirata es lo suficientemente hábil. El sistema de encriptación de señales de video Nagravision lo emplea para proteger los datos ECM y EMM del sistema. Este sistema es el elegido para trabajar con los códigos del sistema de codificación Videocrypt. Por ello se creó este sistema de cifrado empleado únicamente para proteger claves. pero no es así. También es cierto que el sistema de cifrado comentado ha sido modificado por sus inventores aumentando el grado de seguridad. Básicamente es empleado para las transiciones de datos interbancarios y transferencias de alto riesgo. DDS: El sistema no ha sido publicado hasta ahora. Este sistema puede resultar realmente complejo. Shamir y Adelman. por lo que conlleva grandes operaciones matemáticas. los métodos empleados en algoritmos. DES: Este sistema de encriptación es habitual verlo emplear en sistemas de encriptación de señales de televisión para proteger los datos ECM de control de decodificación de la señal. También esta desarrollado para sistemas informáticos y transacciones. también se basa en palabras de longitudes mas o menos extensas para el cifrado de mensajes. por supuesto los mas importantes. " Otros métodos no menos importantes son los siguientes: " Sistema de curvas elípticas: Esta diseñado exclusivamente para cifrar textos escritos en computadora y no se emplea para sistemas de encriptación de señales de televisión analógicas o digitales. uno que nombrara los sistemas de cifrado basados en claves publicas. de alli el nombre RSA. Fue inventado en 1977 por Rivest. También emplea métodos de permutación y rotación de dígitos en un módulo seudo aleatorio.

" IDEA: Este sistema fue desarrollado en Zurich en 1990 y emplea claves de encriptación de 128 bits de longitud y se considera muy seguro. cada cierta cantidad de texto elegido de forma arbitraria. pero es mas que probable que a estas alturas hayan modificado la estructura del algoritmo de cifrado. Como es lógico hasta el momento no se sabe cuales son las operaciones matemáticas a seguir. Entre los sistemas desarrollados a partir de la creación de algoritmos. " " Instituto Nacional de Estadística e Informática 29 . pero hay alguien que dice que es mas que probable que se basen en factores de números primos. por su complejidad e importancia sociales. y combinarla con una puerta lógica variable. en toda la secuencia. " MD5: Este algoritmo esta desarrollado por el grupo RSA y es un intento de probar con otros sistemas criptográficos que no empleen claves. se procede a realizar una transformación de bits. unos 200 por lo general. RC4: Este algoritmo fue desarrollado por el grupo RSA. Trabajar con estos algoritmos requiere sistemas informáticos.UU y se pretende implantar en los sistemas informáticos de alta seguridad del estado como estándar de protección de documentos. mas complejo que existe hasta el momento. esto es. El sistema esta descrito en el capitulo Carding. Es muy difícil de romper y su fuerte. Esto es. Estos nuevos sistemas no emplean claves de ningún tipo. esta palabra longitud tiene una extensión de x bits preestablecidos. después los datos son rotados a situaciones irrelevantes. El algoritmo desarrollado es capaz de obtener 128 bits a partir de un determinado texto. Estos algoritmos normalmente se basan en complejas operaciones matemáticas de difícil resolución. existen otros sistemas de cifrado basados en algoritmos. Se sabe que existen Hackers que han probado suerte. Es uno de los algoritmos mas conocidos actualmente. quizás. Además es el método empleado por el SSL de Nestcape en su versión con clave de 40 bits. Acepta claves de cualquier longitud y emplea un generador de números aleatorios. El método de cifrado está basado en modificar la orientación de cada bit. si no que se basan en extraer una determinada cantidad de bits a partir de un texto de cualquier longitud. Este es el método. en al menos 16 permutaciones en la primera versión de este sistema de cifrado. El algoritmo obtiene 160 bits de un texto determinado.Seguridad de la Información sistema de cifrado DES se basa en la permutación de la longitud de bits. de esta forma el texto es irreconocible ya que solo se pueden leer números secuenciales y no guardan relación alguna entre si. El sistema se basa en combinar cada bit con otro bit de otra secuencia. esta en la velocidad de computación admisible. de esta transformación se obtiene una palabra longitud clave. pero de cualquier manera es prácticamente imposible de abrir aun cuando se sabe que ruta siguen los bits. SHA: Es un algoritmo desarrollado por el gobierno de los EE. cabe destacar al menos dos. Además de estos sistemas de cifrado basados en claves publicas o secretas. pero hasta el momento nadie ha dicho nada mas al respecto. computadoras o tarjetas de acceso inteligentes que solo comuniquen el tipo de algoritmo empleado.

no tardará en "atar cabos". o en los que no sea una técnica demasiado conocida. total o parcialmente. hoy en día. que las utilizaron para comunicarse sin ser descubiertos y sin poner en peligro a sus miembros. que simplemente los toma y los oculta entre otros datos. Sin embargo. La esteganografía se convierte así. Entre algunas de estas primeras y sencillas técnicas esteganográficas podrían señalarse los mensajes que de pequeños todos hemos hecho escritos con zumo de limón en un papel en el que. la esteganografía es el conjunto de técnicas que nos permiten ocultar o camuflar cualquier tipo de datos. También el método que consiste en tomar varias páginas de un libro y señalar con puntos o rayas las letras que forman el mensaje. Al igual que la criptografía. de los accesos locales y remotos a datos informatizados. Lo mismo ocurrió con las organizaciones secretas o clandestinas. A lo largo de la Historia los paises fueron desarrollando técnicas que les permitieran comunicarse con sus agentes en el extranjero sin que el país que acogía al espía pudiera descubrir que estaba teniendo lugar esa comunicación. la llegada de las computadoras permitió grandes avances en las técnicas. tanto en volumen como en diversidad. 30 Instituto Nacional de Estadística e Informática . la esteganografía tiene un origen muy antiguo. Esteganografía El término "esteganografía" viene del griego stegos. la esteganografía puede tenerlos aún más claros. Y al igual que ocurrió con la criptografía. alguien que conozca la esteganografía y en concreto los programas. en determinados ambientes. No hay duda de que. La criptografía modifica los datos para que no sean legibles. si la criptografía puede tener usos delictivos. con las computadoras. Es de esta última manera como realmente es fuerte la esteganografía.4. En estos últimos. consiguiéndose una seguridad aún mayor. alguien que usa la criptografía puede ser considerado como alguien que "tiene algo que ocultar" en vez de ser considerado como alguien que simplemente protege su intimidad. los archivos que ocultan datos pueden pasar ante las narices de muchos sin levantar sospechas. Si hemos encriptado la información. Sin embargo. al menos no podrá descubrirla "de un golpe". ambas técnicas son combinables. que significa "cubierta". son accesorios.Seguridad de la Información 5. y si simplemente usan la criptografía. E incluso en nuestras democracias. consiguiéndose además automatizar tareas que solían ser engorrosas. Desgraciadamente.3. en una útil herramienta para proteger nuestros datos. Sin embargo. implica la necesidad de asegurar la identidad de los usuarios. Biometría El desarrollo de la sociedad de la información. bien usada puede convertirse en algo muy útil. todavía en muchos países los Derechos Humanos. El entorno más favorable para la esteganografía es aquel en el que se realicen escaneados automatizados de los mensajes. a diferencia de la esteganografía. aparece lo escrito. 5. si es que están autorizados a usarla legalmente inmediatamente se convertirán en sospechosos para las autoridades. Hay que dejar clara la diferencia entre la criptografía y la esteganografía "estricta". Así pues. al calentarlo con una bombilla. Los ciudadanos de estos países que estén luchando para cambiar esa situación necesitan ocultar de alguna manera la información que utilicen para sus actividades. por lo que esteganografía significaría "escritura oculta" o "escritura encubierta". con el aumento incesante. tanto combinada con la criptografía como por separado.

Ello limitaba el uso a aplicaciones específicas y a organismos muy seleccionados que solían disponer de los medios necesarios (Policía Científica. los microprocesadores y el software disponibles poseen la potencia adecuada para procesos de este tipo. control de acceso de alta seguridad). Instituto Nacional de Estadística e Informática 31 . Judicial. El mercado de los controles de acceso promovió la proliferación de sistemas. para verificar la identidad de una persona. Existen varios medios para verificar la identidad de un individuo. llaves. En el pasado. Su denominador común es la necesidad de un medio simple. unidas a las ya existentes anteriormente en materia de seguridad de accesos físicos. Estas necesidades. claves. Hoy en día. el proceso informatizado de reconocimiento de huellas dactilares necesitaba el uso de importantes y costosos medios materiales. y su costo es cada vez mas reducido. se suele escribir esta clave en cuadernos. ya que ciertos rasgos de la persona son inherentes a ella y solo a ella. La combinación de avances en biometría y en electrónica ha permitido el desarrollo de las nuevas soluciones de identificación biométrica.. porque todos utilizan un elemento externo como las tarjetas de identificación.Seguridad de la Información La importancia y valor de esos datos motiva a los impostores para superar los sistemas de seguridad existentes. Es frecuente olvidar una clave de acceso. y por esa misma razón. sin necesidad de la asistencia de otra persona. a los usuarios y promotores a instalar nuevos sistemas mas cada vez mas potentes y fiables. Para evitar estos olvidos. la biometría es considerada como la más apropiada. ha determinado un interés creciente por los sistemas electrónicos de identificación y autentificación. La biometría toma en cuenta elementos morfológicos únicos y propios de cada uno de nosotros. La contraseña o clave es un método de pre-selección y no de control de acceso eficaz. perdiendo así toda confidencialidad.. práctico y fiable. pero ninguno se ha revelado totalmente eficaz contra el fraude.

Los procesos de encriptación y desencriptación son transparentes para el usuario. Sistema de archivos encriptado (Encrypting File System. basa su seguridad en la existencia de un solo server.Seguridad de la Información 6. La segunda es más peligrosa. las acciones que un individuo puede aplicar sobre cierto objeto y los eventos que le son auditados. La primera de las posibilidades implicaría que alguien cambie o por error o a propósito su cuenta en el server. VPNs). Kerberos es un estándar de Internet. solamente lo que necesita para cumplir con su trabajo. ya que los nombres no son secretos. ya que en el caso de que accediera con la cuenta de otro estaría definitivamente desafiando la seguridad del sistema con malas intenciones. Las caracteristicas relacionadas a la seguridad incluyen : " Modelo de Seguridad de Windows NT: Permite solamente a los usuarios autentificados accesar los recursos del sistema. Seguridad en los Principales Sistemas Operativos 6. lo cual lo hace especialmente efectivo para redes de diferentes sistemas operativos tales como UNIX. Soporte para seguridad del IP (IPSec): Ayuda a proporcionar capacidades de comercio electrónico protegiendo los datos transmitidos a través de la red. Soporte para Kerberos: Proporciona autentificación de alto grado y estándar de la industria con un inicio de sesión rápido y simple para los recursos basados en Windows 2000.1. un solo lugar donde están físicamente todos los datos. las cuales permiten a las organizaciones transmitir datos de manera segura por Internet. o sea. Una medida de seguridad que implementa el software de Novell es la posibilidad de que las passwords estén o no encriptados. Seguridad en Windows 2000 Las características combinadas de Windows® 2000 Professional conforman el sistema operativo para la computación de escritorio y de portátiles en todas las organizaciones. Un problema de seguridad puede pasar principalmente por dos lados: o que un usuario adquiera privilegios que no le correspondan o que consiga el nombre y el password de un usuario con más nivel de acceso que él. Para esto sólo necesitaría saber el password de algún otro usuario con más privilegios. El modelo de seguridad incluye componentes para controlar quién accesa objetos (tales como archivos e impresoras compartidas). Seguridad en Novell Una red local bajo Novell. 32 Instituto Nacional de Estadística e Informática . Al instalarla se toma la precaución de que sólo tenga acceso físico a éste la gente que cumple funciones de supervisión. EFS): Encripta cada archivo con una clave generada aleatoriamente.2. El resto se maneja con cuentas que le dan determinados privilegios de acceso a ciertas partes de la información. IPSec es una parte importante de la seguridad de las redes privadas virtuales (virtual private networks. " " " 6.

Algunas de dichas cuentas pueden tener como parte del proceso de entrada al sistema un batch que ejecuta determinados programas. diseñados para entrar ilegalmente a una red Novell.Seguridad de la Información Utilizando el comando del sistema operativo que permite que las passwords no se encripten se podría monitorear la actividad de la red y robar passwords. " Identificación de usuarios: Como en cualquier sistema operativo multiusuario los usuarios tienen un nombre identificativo (login) y una contraseña (password) que deben introducir para acceder al sistema. y son un peligro para su seguridad. esto es un problema grave de seguridad. Netware tiene. Instituto Nacional de Estadística e Informática 33 . tendría control total sobre el server. NOVELL. Estos están hechos por hackers. sin embargo. los empleados de la empresa difícilmente puedan tener acceso a este tipo de equipos. REMOTE. El administrador del sistema. ya que habría que utilizar equipos especiales para captar las señales de los cables de la red y analizarlas. para que el software permita acceder a toda la información de la red. CONNECT. etc.3. los nombres de usuario GUEST y SUPERVISOR que no tienen passwords. BACKUP. Otras cuentas que pueden no tener password tienen nombres como TAPE. periféricos y conexiones. En el diseño de UNIX no se contemplaba la seguridad como un factor prioritario. cuyo nombre es root. Obviamente esto se daría solo en casos como de espionaje industrial. Si un usuario puede utilizar SYSCON para obtener una lista de todos los nombres de usuario. que ejecuta los programas necesarios para llevarlo a cabo. Seguridad en Unix El sistema operativo UNIX ha servido de modelo para el desarrollo de otros sistemas operativos. Esto es así porque la compañía que lo produce piensa que sus clientes tomarán en cuenta que dejarlos o no así es su propia responsabilidad. los usuarios pueden acceder a los recursos disponibles en función de una serie de permisos. De todas formas. Por ejemplo. Tanto públicas como privadas (entre ellas el Departamento de Defensa de los Estados Unidos). Esto es especialmente peligroso ya que para realizar un backup se debe entrar con privilegios de supervisor. Existen algunos programas que permitirían a cualquier usuario tener acceso total. etc. Una vez dentro del sistema. En el caso de que una persona pueda utilizar esa cuenta y abortar el batch con control-C. quizá encuentre alguna cuenta sin password y la use para sus propios fines. apenas se instala. esto no es un peligro muy común. 6. Si el que instaló la red no se preocupó en cambiarlos. la seguridad pasó a ser fundamental y objetivo prioritario de desarrollo. en el momento en que comenzó a comercializarse y a utilizarse en buen número de empresas. las principales fallas en la seguridad se deben a un software mal instalado y no a problemas del mismo software. Como siempre. es el encargado de controlar el sistema. una sistema de backup automático. añadir y borrar usuarios. entre otros aspectos en lo referente a la seguridad. La cuenta SUPERVISOR puede llegar a ser especialmente peligrosa ya que puede dar acceso total a la red. SERVER.

el identificador de usuario y de grupo. Puertas traseras: Un usuario no autorizado puede acceder al sistema aprovechando un punto débil del sistema operativo.2 inclusive. Es fundamental asignar a cada fichero y directorio los permisos que sean estrictamente necesarios. no se recomienda el uso de esta orden si se trata de información confidencial. Protección de información: En UNIX se encuentran disponibles diversas utilidades y opciones relacionadas con la seguridad y protección de la información. ni siquiera el administrador puede hacerlo sin ella. El programa FTP es también parte de las aplicaciones TCP/IP y permite entrar en una cuenta para transferir ficheros. existiendo incluso algunas versiones especiales con características de seguridad avanzada. normalmente hay que recurrir a algún paquete que se distribuye aparte. en UNIX cuenta con una serie de programas que permiten transferir ficheros entre sistemas. El más conocido entre ellos es quizás COPS. Una serie de herramientas de dominio público y comerciales permite evaluar la seguridad del sistema y descubrir los puntos débiles que puedan dar lugar a problemas en la seguridad. no requiriéndose ninguna contraseña para poder hacerlo. Para cada una de las tres categorías se asignan permisos de lectura. a partir de la versión 3. Para ello. El protocolo TCP/IP. escritura y ejecución. Conexión en Red: La conexión en red necesaria para compartir información entre usuarios de distintos sistemas. Control: UNIX no incorpora herramientas sofisticadas de auditoría que permitan controlar qué es lo que ocurre en el sistema. la contraseña cifrada. ejecutar órdenes. El contenido de este fichero debe guardarse con cautela puesto que alguien que lo conociese podría suplantar a un usuario utilizando el nombre de alguno de los sistemas que aparecen en él. " " " " " 34 Instituto Nacional de Estadística e Informática . Los ficheros sólo pueden ser descifrados si se conoce la clave. se solicita al cifrar un fichero. que puede consultarse por cualquier usuario. Estos programas requieren que en el sistema remoto exista un fichero con el nombre de los sistemas y de los usuarios que tienen permiso para ejecutarlos. las contraseñas se pueden almacenar en un fichero aparte: /etc/shadow. Permisos: Cada fichero y directorio en UNIX tiene tres categorías de usuarios asociados: el propietario. entrar en una cuenta en un sistema remoto. un descuido o desconocimiento de un usuario o una mala administración del sistema. Por motivos de seguridad. los usuarios que pertenecen a su mismo grupo y el resto de los usuarios. que será necesaria para el descifrado.Seguridad de la Información " Ficheros de contraseñas: El nombre de acceso. como la orden crypt que permite cifrar ficheros mediante el algoritmo DES. que únicamente debe tener permiso de lectura para el administrador del sistema. No obstante. Todos estos fallos se han corregido. en el Sistema V. y en la actualidad. se puede decir que es uno de los sistemas más seguros que hay. La clave de cifrado. el nombre completo y algunos parámetros de cada usuario se almacenan en el fichero público/etc/passwd. etc. también provoca que aumenten los riesgos. puesto que no ofrece el grado de seguridad requerido en tales casos.

web. ingrese a la red o servidor. Secure WideArea Nets (S/WAN). servidores aplicaciones para Internet. identidad del receptor y emisor. leídos o modificados ilícitamente. Redes virtuales privadas. Tecnología Encriptamiento simétrico. Para contrarrestar estas amenazas se han desarrollado varios protocolos y aplicaciones usando las técnicas criptográficas descritas anteriormente. Esta nueva concepción estan revolucionando los negocios. Un usuario no autorizado en una red obtiene acceso a otra red. web. Instituto Nacional de Estadística e Informática 35 . Secure Sockets Layer (SSL). Existen muchos tipos diferentes de amenazas que pueden comprometer la seguridad del comercio electrónico. comercio electrónico. Aplicación Exploradores. Tarjetas inteligentes. Paquetes de correo electrónico con encriptamiento RSA y firma digital. Secure MIME (S/MIME). Encriptamiento punto a punto entre cortafuegos y enrutadores. Firewall Algunos de los estándares de seguridad para Internet: Estándar Secure HTTP (S-HTTP). Asegura los paquetes de datos en la capa de la red. encriptamiento asimétrico. redes cierto tráfico virtuales privadas. servidores aplicaciones para Internet. Filtra y evita que Firewall. Seguridad y solución Encriptamiento Función Los datos se codifican para evitar su alteración. Función Asegura las transacciones en el web. servidores de transacción. Asegura los anexos de correo electrónico en plataformas múltiples. Seguridad en el Comercio Electrónico Una definición aproximada de comercio electrónico es : "cualquier forma de transacción comercial en la que las partes interactúan electrónicamente en lugar de por intercambio o contacto físico directo". Exploradores. Secure Electronic Transaction (SET). Asegura las transacciones con tarjeta de crédito. Algunas amenazas a la seguridad y soluciones: Amenaza Datos interceptados. Autentificación Verifica la Firmas digitales. Los usuarios asumen otra identidad para cometer un fraude.Seguridad de la Información 7.

de seis meses a un año). conocida por todos. Como método aceptado para distribuir la llave pública. De esta manera. ya que involucra el menor número de verificaciones de los antecedentes del usuario: sólo se verifican el nombre y dirección de correo electrónico. Las autoridades de certificación. la autoridad emisora verifica una 36 Instituto Nacional de Estadística e Informática . Recíprocamente. emiten certificados digitales. Una vez que se han generado las dos llaves. el explorador web o programa de correo electrónico. Un mensaje puede ser cifrado por cualquier persona usando la llave pública. La emisión de un certificado digital puede ser de cuatro clases. Usualmente. Esto tampoco permite autentificarse con algún grado de confianza. Como se muestra en la Figura 4-5. y otra privada. un mensaje cifrado con la llave privada sólo puede ser cifrado por su poseedor. un límite de tiempo para usar el certificado (la mayoría de las veces. por ejemplo.Seguridad de la Información 7. un certificado digital incluye el nombre del poseedor. Posteriormente. una pública. generar un par de llaves y después enviar a los receptores la llave pública. Podría usar el correo electrónico para enviar la llave pública a todos sus receptores. la clase del certificado y el número de identificación del certificado digital. Cybertrust y Nortel. por ejemplo. alguien podría hacerse pasar por usted. se hace con el programa que usará la llave. Para usar la criptografía de llave pública se necesita generar una llave pública y una privada. pero podría resultar difícil de manejar en caso de que olvide a alguien en la lista de direcciones. En el caso del certificado de Clase 2. aunque sólo el poseedor de la llave privada podrá descifrarlo. ya que es públicamente conocida. Una autoridad de certificación aceptará la llave pública de usted. Los certificados digitales verifican electrónicamente las llaves públicas. El certificado digital actúa como una versión electrónica de la licencia de un conductor. el nombre de la autoridad de certificación. es responsabilidad suya mantener segura la llave privada y no permitir que alguien la vea. para posteriormente tener la libertad de hacer mensajes usando el nombre de usted. tiene que decidir cómo distribuir la llave pública a sus receptores. otros pueden solicitar entonces la verificación de su llave pública a la autoridad de certificación. donde se explica la idea revolucionaria de servirse para las operaciones criptográficas de una pareja de llaves. diciendo que proviene de usted. junto con ciertas pruebas de su identidad (esto varía con la clase de certificado) y sirve como un depósito de certificados digitales.1 PKI La infraestructura de llave pública (PKI en inglés) se basa en la criptografía de llave pública. proporciona un procedimiento para que los receptores puedan verificar que usted es quien dice ser. indicando hasta qué grado se ha verificado al poseedor. por ejemplo. una llave pública para uso criptográfico. o si surgen nuevos receptores. Verisign. cuyos orígenes se remontan al artículo de Diffie y Hellman en 1976. Una manera más adecuada y confiable de distribuir llaves públicas es el uso de una autoridad de certificación. La Clase 1 es la más fácil de obtener. sólo conocida por el usuario a quien le es asignada. mientras que puede ser descifrado por cualquiera que conozca la llave pública.

PGP se diseñó alrededor del concepto de una red de confianza que permitía a los usuarios compartir sus llaves. pueden usar módulos conectores especiales de PGP para manejar correo encriptado. de FTP Software. los mensajes se pueden encriptar antes de usar un programa de correo electrónico. además de la información requerida para un certificado de Clase 2. además de que requiere una jerarquía rígida de autoridades de certificación para emitir llaves. pero los requerimientos de verificación para estos certificados todavía no han sido formalizados. mientras SSL asegura el canal de las comunicaciones. ya sea corporativa o global. proporcionando la autorización y seguridad de los documentos. El correo enriquecido con carácter privado (PEM-Privacy-enhanced mail) es un estándar de Internet para asegurar al correo electrónico usando llaves públicas o simétricas. para asegurar la autentificación.2.. S/MIME depende de certificados digitales. Instituto Nacional de Estadística e Informática 37 . La seguridad de las aplicaciones para web gira en torno a dos protocolos. Pretty Good Privacy (PGP) es una aplicación popular desarrollada para asegurar los mensajes y archivos. por ello también depende de algún tipo de autoridad de certificación. como Eudora Pro. Probablemente sea la aplicación de seguridad para correo electrónico en Internet más usada. emplea una variedad de estándares de encriptamiento. que proporcionan autentificación para servidores y navegadores. S/MIME y PGP. Los usuarios que solicitan un certificado de Clase 3 pueden esperar que la autoridad emisora ejecute una verificación de crédito (usando un servicio como Equifax).3. Seguridad para aplicaciones del web: S-HTTP y SSL. Secure HTTP y Secure Sockets Layer. Se ha propuesto una variedad de protocolos de seguridad para el correo electrónico en Internet. ya que no está diseñado para manejar el moderno correo electrónico de multipartes soportado por MIME. SSL se puede usar para otras transacciones. El uso de PEM ha descendido. así como confidencialidad e integridad de los datos para las comunicaciones entre un servidor web y un navegador. sin requerir una jerarquía de autoridades de certificación. un número de seguro social y una fecha de nacimiento. pero sólo uno o dos han recibido cierto uso extendido. Seguridad para correo electrónico: PEM. S-HTTP está diseñado específicamente para soportar el protocolo de transferencia de hipertexto (HTTP). usa muchos de los algoritmos criptográficos patentados y cuyas licencias corresponden a RSA Data Security Inc. Secure MIME (S/MIME) es un estándar más nuevo que se ha propuesto.Seguridad de la Información licencia de conducir. 7. también se le conoce como. SSL ofrece métodos de protección similares. Las aplicaciones para encriptamiento/desencriptamiento PGP están disponibles de manera gratuita para la mayoría de los sistemas operativos importantes. 7. Qualcomm y OnNET. Un certificado de Clase 4 incluye información acerca de la posición de la persona dentro de una organización. S-HTTP asegura los datos. pero no está diseñado para manejar decisiones de seguridad basadas en autentificación a nivel de documento o aplicación. así. Algunos programas de correo. pero asegura el canal de comunicaciones al operar más abajo en la pila de red (entre la capa de la aplicación y las capas de red y transporte TCP/IP).

lo más pronto posible. Un plan de contingencia no duplica un entorno comercial normal (en forma inmediata). se necesita delinear cuidadosamente los distintos tipos de desastre que pueden ocurrir: ! Destrucción completa de los recursos centralizados de procesamiento de datos. Al considerar los planes de contingencia. Si durante la preparación de un plan de contingencia se identifican y documentan las funciones criticas. Destrucción total o parcial de los procedimientos manuales del usuario. La preparación de un plan de contingencia da a los directivos de una empresa una excelente oportunidad para aliviar o minimizar problemas potenciales que. existen ciertas áreas que necesitan protección en caso de desastre o ciertos recursos que deben estar disponibles para la recuperación: 38 Instituto Nacional de Estadística e Informática . en un momento dado. la continuidad y el bienestar del funcionamiento del centro de cómputo en el futuro mejoraran.Seguridad de la Información 8. se desarrolla un método formal de respuesta a las emergencias. Utilidad del Plan de Contingencia Un plan de contingencia completo mitigará los efectos de esos desafortunados desastres y permitirá una respuesta rápida. En el caso de las ultimas. ! Destrucción parcial de los recursos centralizados de procesamiento de datos. y se llevan a cabo procedimientos de respaldo y recuperación. al tomar acciones decisivas basadas en la planeación anticipada. Los objetivos de dicho plan son los de restablecer. Razón por la cual es necesario tomar conciencia de la importancia vital de la confección de dicho plan.Plan de Contingencia Un plan de contingencia o plan de recuperación en caso de desastre es una guía para la restauración rápida y organizada de las operaciones de computo después de una suspensión. ! Destrucción o mal funcionamiento de los recursos ambientales destinados al centro de procesamiento de datos. el procesamiento de aplicaciones criticas (aquellas necesarias para la recuperación) para posteriormente restaurar totalmente el procesamiento normal. y una eventual recuperación. una transferencia del procesamiento crítico a otras instalaciones. podrían interrumpir el procesamiento de datos. ! Pérdida del personal clave ! Interrupción por huelga Alcance del Plan de Contingencias La planeación contra contingencias debe abarcar tanto las aplicaciones en proceso de desarrollo como las operativas. ! Destrucción total o parcial de los recursos descentralizados de procesamiento de datos. utilizados para la captura de la información de entrada para los sistemas de computo. pero si minimiza la pérdida potencial de archivos y mantiene a la empresa operando.

Papelería Los procedimientos de planificación contra desastres tendrán que definir en forma detallada los arreglos que se hagan para cada caso. la programación y las operaciones.Seguridad de la Información ! Documentación de los sistemas. y hacia la preservación de esas vidas deben estar destinadas las medidas de seguridad. también es importante hacer planes para manejar incidentes "menores". Procedimientos de Emergencia El recurso o más valioso de la compañía es su personal. Todo tipo de equipo 2. aun sin haberlos visto antes. o robo. Por esto. y de todos los procedimientos fijados en el plan de contingencia. Ambiente para el equipo 3. Un pequeño fuego o fuga de agua. capacitación y entrenamiento de determinados funcionarios y empleados en técnicas y medidas de seguridad especificas. ! Recursos de procesamiento que incluyen: 1. Pueden utilizarse diagramas para representar estos procedimientos dentro del manual del plan de contingencia. tales como evacuación. la organización y las responsabilidades para aplicarlos y un marco de trabajo para la iniciación y aplicación paso por paso de los procedimientos de recuperación. ya que harán más fácil su entendimiento. de forma tal que puedan hacer frente a diversas circunstancias. Programas 5. sobre este aspecto se considera primordial instruir o educar previamente al personal. puede rápidamente adquirir mayores proporciones a menos que se tomen medidas previamente planeadas. La importancia de diseñar tales procedimientos radica en la preparación de un plan de contingencia contra un paro total en el procesamiento de datos. Deben diseñarse procedimientos no muy extensos ni detallados excesivamente. Instituto Nacional de Estadística e Informática 39 . a los efectos de dirigir el accionar del resto del personal. depende de las medidas que se hayan desarrollado con anterioridad. Deben estar representados de modo tal que cualquier persona. Que tan bien pueda reaccionar una compañía cuando ocurren pequeños accidentes. Datos y archivos 4. pueda ejecutarlos. es importante que el personal del centro de cómputo este preparado para actuar con rapidez ante cualquier incipiente contingencia que pueda llegar a presentarse. uso de los extintores y la manera de proceder ante una emergencia.

para los cuales fueron determinados los riesgos y diseñado el sistema de medidas. a través de las tecnologías de información. especificando en caso que se consideran áreas vitales o reservadas.). en dependencia si procesan información clasificada o sensible. etc. Plan de Seguridad de la Información Los conceptos anteriormente vertidos en forma aislada son los elementos principales para establecer Planes de Seguridad Informáticos para que en forma integrada puedan garantizar la confidencialidad. Sistema de Medidas para la Seguridad Informática : mencionaremos: Medidas Administrativas y Organizativas: Se expresarán las medidas que son de competencia de la dirección de la entidad y de obligatorio cumplimiento por todo el personal. que comprenden: Clasificación de la información. estableciendo una Alcance: Expresará demarcación clara de los activos informáticos y locales objeto de protección. y el impacto del mismo para la entidad. reproduce y conserva mediante el uso de las tecnologías de información. ∗ Características del procesamiento de la información clasificada y sensible. Se describirá el sistema de autorización de acceso a los locales especificando los criterios para otorgar la permanencia de personas en los mismos. Se describirán las condiciones constructivas y características físicas del local desde el punto de vista de seguridad (piso. paredes. integridad y disponibilidad de la información que se intercambia. Caracterización: resumen de la caracterización realizada al sistema informático de la organización que permitió identificar los objetivos. Personal y Responsabilidades Medidas de Seguridad Físicas: Se relacionarán las áreas a proteger. ∗ Características generales del sistema informático. refiriéndose a: ∗ Estructura de gestión de la actividad informática. el radio de acción que abarca el Plan. quedarán definidos al hacer constar cuales son los activos informáticos que deben protegerse y de qué deben protegerse. ∗ Resultado del análisis de riesgo y vulnerabilidad realizado. Un plan de Seguridad Informática contiene: Objetivos: Los objetivos del Plan de Seguridad Informática. se reflejará el cargo y los datos Instituto Nacional de Estadística e Informática 40 . El Plan de Seguridad Informática es un documento en el cual se establecen los principios organizativos y funcionales de la Seguridad Informática en un organización a partir de un sistema de medidas aprobado en base a los análisis de riesgo e identificación de amenazas en el Sistema de Información. puertas y ventanas . ∗ Diagrama de flujo de información que ilustre la relación interna y externa.Seguridad de la Información 9. así como los medios que utilizan para procesar la misma y topología de las redes de transmisión de datos con que cuentan.

hardware o ambas. Medidas de Seguridad de Operaciones: Se relacionarán los criterios adoptadas para seleccionar los mecanismos de seguridad convenientes. Instituto Nacional de Estadística e Informática 41 . Medidas educativas y de concientización: Todas las medidas que se establecen para dar a conocer al personal la existencia de un sistema de seguridad informática en el cual les corresponde una forma de actuar. Se describirá el mecanismo de identificación y autenticación de los usuarios con acceso a los sistemas. se realice en presencia y bajo la supervisión de personal responsable y que en caso del traslado del equipo fuera de la entidad la información clasificada o sensible sea borrada físicamente o protegida su no divulgación. Medidas para garantizar el control sobre la entrada y salida en la entidad de tecnologías de la información (máquinas portátiles. Este Plan debe ser aprobado al mas alto nivel y revisado en forma periódica por el responsable de Seguridad de la información. Además. Incluye las medidas que se establecen para garantizar que los mantenimientos de los equipos. soportes y datos.) así como el uso para el que están destinadas. especificando las políticas y mecanismos de filtrado establecidos para ocultar la red interna de INTERNET. glosario de términos usados. destrucción y consistencia de los ficheros y datos. Se consignarán los sistemas de protección criptográficos que se utilizan y con qué fin son utilizados. WWW). Se describirán las medidas establecidas para protegerse contra programas dañinos que puedan afectar los sistemas en explotación. especificando como se implementan a nivel de Sistema Operativo y de aplicaciones.Seguridad de la Información generales de las personas facultadas para otorgar este acceso. Mecanismos de seguridad establecidos para evitar la modificación. así como para verificar sus niveles de efectividad y protección continua. Medidas de Seguridad Técnica o Lógica: Se especificarán las medidas de seguridad que se establezcan. aplicación o ambos. Se describirá y graficará la estructura de seguridad adoptada en la conexión a INTERNET. especificando cuando estos se implementan a nivel de Sistema Operativo. Se tendrán en cuenta las sanciones administrativas que puedan aplicarse al personal que viola la seguridad informática. Este Plan incluye un conjunto de procedimientos. Esta Plan responde a la relación que debe garantizar un Sistema de Seguridad Informática entre políticas de Seguridad y procedimientos de implantación de las anteriores. así como los mecanismos de seguridad aplicados a los distintos servicios disponibles (SMTP. cuya Implementación se realice a través de software. se describirá el sistema de identificación para los trabajadores de la entidad. los que se encuentren en prestación de servicios o visitantes así como la entrada y salida de las tecnologías de información a través de los mismos y el sistema de control. soportes etc. propiedad indispensable para garantizar un sistema de información confiable. lo que permite garantizar la auditabilidad del mismo.

Auditoria de la Seguridad Informática como Elemento De Control La auditoria a la seguridad informática es el proceso de verificación y control mediante la investigación. legales y educativas dirigidas a prevenir. integridad y disponibilidad de la información que se procese. integridad y disponibilidad de la información que se procesa. sociedades y asociaciones económicas que se constituyen conforme a la ley. detectar y responder a las acciones que pongan en riesgo la confidencialidad. otras entidades estatales. abarcando el control de aquello que actúa sobre una causa para reducir los riesgos o minimizar las causas de riesgo. análisis. intercambie. reduzca y conserve a través de las tecnologías de información. adoptadas en la entidad para garantizar la confidencialidad. Objetivo: El objetivo de la auditoria a la Seguridad Informática es detectar fisuras o puntos vulnerables en el sistema informático que ponga en riesgo la seguridad de la información y de las tecnologías empleadas para su procesamiento como base para la elaboración de un diagnostico. empresas mixtas. organizativas. ! Valorar la factibilidad del sistema de medidas de seguridad en correspondencia con la caracterización del sistema informático. Funciones: ! Analizar las políticas de seguridad informática. ! Analizar y comprobar el funcionamiento y eficacia del sistema de medidas de seguridad informática implantado en la entidad. ! Detectar fisuras o puntos vulnerables en el funcionamiento del sistema informático y el sistema de medidas de seguridad que pueda propiciar causas y condiciones para la comisión de delitos. físicas. comprobación y dictamen del conjunto de medidas administrativas. elaborando un cronograma con todos los pasos a realizar y los objetivos a lograr. Etapas Etapas para la realización de la auditoria: ! Planificación de la auditoria: En esta etapa se planificará el trabajo a desarrollar. 42 Instituto Nacional de Estadística e Informática . que utilicen tecnologías de la información. La auditoria a la seguridad informática se puede realizar a todos los órganos y organismos de la administración central del estado y sus dependencias. técnicas.Seguridad de la Información 10.

legales o específicamente informáticos que determinen la vulnerabilidad de los activos. personal. 8. documentación existente sobre el objeto social. recursos. Obtener la información necesaria sobre la caracterización (organización. ya sean de carácter administrativos. 7. 5. Conocer los objetivos y alcances del sistema de información establecido en la entidad objeto de auditoria 2. para conocer el sistema y la auditabilidad para la seguridad del mismo. Clasificación de los activos en función de su importancia y los problemas que trae a la entidad su revelación. Emplear el uso de cuestionario para la recopilación de la información con el propósito de obtener una orientación general sobre la seguridad informática de la entidad. con el fin de obtener la mayor información en el menor tiempo posible sobre los principales problemas que han afectado esta entidad y que evidencien debilidades en el control interno. las dependencias y otros aspectos de interés a auditar) 3. Se utilizaran los cuestionarios como herramienta de auditoria a la Seguridad Informática con el fin de obtener una orientación general sobre este tema. Obtener los manuales de explotación y de usuario de los sistemas de las áreas o dependencias y efectuar un examen pormenorizado de estos. 4. modificación o destrucción. técnicos. Realizar una pormenorizada revisión de los resultados de auditorias informáticas y de seguridad anteriores o controles específicos de seguridad u otras actas o documentos. Confeccionar tablas que permitan determinar dentro de los activos informáticos los riesgos existentes. Instituto Nacional de Estadística e Informática 43 . Verificación de la Seguridad Informática aplicada Esta etapa consiste de forma general en la revisión y comprobación del cumplimiento de las normas y procedimientos de Seguridad Informática de la entidad. organizativos. Investigación preliminar Esta etapa persigue: 1. Determinar los bienes informáticos mas importantes para la entidad de acuerdo a su costo beneficio.Seguridad de la Información ! Desarrollo de la auditoria: La auditoria a la Seguridad Informática se divide a su vez en tres etapas: ! Investigación preliminar ! Verificación de la Seguridad Informática aplicada ! Comprobación con el empleo de herramientas informáticas. 6.

com/graphical/472/crimen.html # Plan de Seguridad Informática Experiencias en su desarrollo.htm # Biometría http://www.html # Seguridad en Unix http://www.com/criptograma/0019_1.csic.htm # Seguridad en una Red Novell http://www.fortunecity.arnal.kriptopolis.es/free/cripto/estega/estegind.com/segutot/la.htm # Asuntos Relativos a la Tecnología de Información y Comunicaciones http://www.Seguridad de la Información 11.htm # Crimen y Castigo en el Ciberespacio http://skyscraper.es/criptonomicon/amenazas.geocities.iec.com/latam/technet/hoy/comercio/art03/art039. Bibliografía # La Seguridad Total http://members.es/Main/VCCE/TIES2. Ministerio del Interior de Cuba # Metodología para realizar Auditorias a la Seguridad Informática Ministerio del Interior de Cuba 44 Instituto Nacional de Estadística e Informática .xoom.com/SiliconValley/Bit/7123/unix.ca/books/837/Chap2.html # Por qué son Inseguras las Computadoras http://www.html # Esteganografía http://www.geocities.htm#UNIX.ubik.com/SiliconValley/Bit/7123/la.to/VR/04/novell.ast-afis.htm # Las Tecnologías de la Información y sus Efectos en la Sociedad http://www.com/es/es-ID1.microsoft. # Comercio Electrónico http://www.asp # La Seguridad Informática en las Redes http://www.idrc.prosol.htm # Amenazas Deliberadas a la Seguridad de la Información http://www.

Sign up to vote on this title
UsefulNot useful