Este documento presenta una introducción a la seguridad informática. Explica conceptos clave como confidencialidad, integridad, disponibilidad, amenazas, vulnerabilidades y riesgos. También define términos como activo, atacante e intruso. Finalmente, describe los componentes de la seguridad de la información como la gestión de riesgos, normativas de seguridad, clasificación de información y controles de seguridad.
Seguridad Informática Tema 1: Introducción a la seguridad informática
1. Seguridad Inform´atica
Seguridad Inform´atica
1. Introducci´on a la Seguridad Inform´atica
Francisco Medina L´opez —
paco.medina@comunidad.unam.mx
http://aulavirtual.capacitacionentics.com
Facultad de Contadur´ıa y Administraci´on
Universidad Nacional Aut´onoma de M´exico
2015-1
2. Seguridad Inform´atica
Agenda
1 Introducci´on a la Seguridad Inform´atica
Conceptos y principios de la administraci´on de la seguridad
Evoluci´on hist´orica de la seguridad
Amenazas a la seguridad
Control de Acceso
Hackers, crackers y sus variantes
3. Seguridad Inform´atica
Introducci´on a la Seguridad Inform´atica
Conceptos y principios de la administraci´on de la seguridad
1 Introducci´on a la Seguridad Inform´atica
Conceptos y principios de la administraci´on de la seguridad
Evoluci´on hist´orica de la seguridad
Amenazas a la seguridad
Control de Acceso
Hackers, crackers y sus variantes
4. Seguridad Inform´atica
Introducci´on a la Seguridad Inform´atica
Conceptos y principios de la administraci´on de la seguridad
¿Qu´e es seguridad?
Seg´un la Real Academia de la Lengua Espa˜nola:
f. Calidad de lo que es o est´a seguro: la seguridad de una
cuerda, de un apoyo.
Certeza, garant´ıa de que algo va a cumplirse: tener la
seguridad de que se va a sanar.
loc. adj. Se apl. a ciertos mecanismos que previenen alg´un
riesgo o aseguran el buen funcionamiento de alguna
cosa, precaviendo que falle: puerta, cintur´on de seguridad.
http://buscon.rae.es/draeI/SrvltConsulta?TIPO_BUS=3&LEMA=seguridad
5. Seguridad Inform´atica
Introducci´on a la Seguridad Inform´atica
Conceptos y principios de la administraci´on de la seguridad
¿Qu´e es seguro?
Seg´un la Real Academia de la Lengua Espa˜nola:
adj. Libre y exento de todo peligro, da˜no o riesgo.
adj. Cierto, indubitable y en cierta manera infalible.
adj. Firme, constante y que no est´a en peligro de faltar o
caerse.
adj. No sospechoso.
m. Seguridad, certeza, confianza.
m. Lugar o sitio libre de todo peligro.
m. Mecanismo que impide el funcionamiento indeseado
de un aparato, utensilio, m´aquina o arma, o que aumenta la
firmeza de un cierre.
http://buscon.rae.es/draeI/SrvltConsulta?TIPO_BUS=3&LEMA=seguro
6. Seguridad Inform´atica
Introducci´on a la Seguridad Inform´atica
Conceptos y principios de la administraci´on de la seguridad
¿Qu´e es riesgo?
Seg´un la Real Academia de la Lengua Espa˜nola:
m. Contingencia o proximidad de un da˜no.
m. Cada una de las contingencias que pueden ser objeto de un
contrato de seguro.
http://buscon.rae.es/draeI/SrvltConsulta?TIPO_BUS=3&LEMA=riesgo
7. Seguridad Inform´atica
Introducci´on a la Seguridad Inform´atica
Conceptos y principios de la administraci´on de la seguridad
¿Qu´e es inform´atica?
Seg´un la Real Academia de la Lengua Espa˜nola:
1. f. Conjunto de conocimientos cient´ıficos y t´ecnicas que
hacen posible el tratamiento autom´atico de la informaci´on por
medio de ordenadores.
http://buscon.rae.es/draeI/SrvltConsulta?TIPO_BUS=3&LEMA=inform%E1tica
8. Seguridad Inform´atica
Introducci´on a la Seguridad Inform´atica
Conceptos y principios de la administraci´on de la seguridad
¿Qu´e es informaci´on?
Definici´on
Conjunto organizado de datos procesados, que constituyen un
mensaje que cambia el estado de conocimiento del sujeto o sistema
que recibe dicho mensaje.
La informaci´on puede existir en muchas formas (estados de la
informaci´on):
puede estar impresa o escrita en papel,
almacenada electr´onicamente,
transmitida por correo o utilizando medios electr´onicos,
presentada en im´agenes, o
expuesta en una conversaci´on.
9. Seguridad Inform´atica
Introducci´on a la Seguridad Inform´atica
Conceptos y principios de la administraci´on de la seguridad
¿Qu´e es seguridad de la informaci´on?
Definici´on
Es la protecci´on de la informaci´on y los sistemas de informaci´on del
acceso, uso, divulgaci´on y destrucci´on no autorizada a trav´es de
est´andares, procesos, procedimientos, estrategias, recursos
inform´aticos, recursos educativos y recursos humanos. 1
La seguridad de la informaci´on protege a esta, de una amplia gama
de amenazas, a fin de garantizar la continuidad de una
organizaci´on.
No importando la forma que se adquiere la informaci´on, o los
medios por los cuales se distribuye o almacena, siempre debe ser
protegida en forma adecuada.
1
http://www.law.cornell.edu/uscode/html/uscode44/usc_sec_44_00003542----000-.html
10. Seguridad Inform´atica
Introducci´on a la Seguridad Inform´atica
Conceptos y principios de la administraci´on de la seguridad
Seguridad de la informaci´on seg´un MAAGTIC
Definici´on
La capacidad de preservar la confidencialidad, integridad y
disponibilidad de la informaci´on, as´ı como la autenticidad,
confiabilidad, trazabilidad y no repudio de la misma. 2
Objetivo:
Proteger los activos de informaci´on de la organizaci´on
2
Manual Administrativo de Aplicaci´on General en Materia de Tecnolog´ıas de la Informaci´on y Comunicaciones
(MAAGTIC) http://www.normateca.gob.mx/Archivos/66_D_3309_20-11-2012.pdf
11. Seguridad Inform´atica
Introducci´on a la Seguridad Inform´atica
Conceptos y principios de la administraci´on de la seguridad
Seguridad de la informaci´on seg´un el ISO 27001
Definici´on
Preservaci´on de la confidencialidad, integridad y disponibilidad de
la informaci´on; adem´as, tambi´en pueden estar involucradas otras
propiedades como la autenticidad, responsabilidad, no-repudio y
confiabilidad. 3
3
ISO/IEC 27001:2005
12. Seguridad Inform´atica
Introducci´on a la Seguridad Inform´atica
Conceptos y principios de la administraci´on de la seguridad
The BIG three / AIC Triad / C-I-A
13. Seguridad Inform´atica
Introducci´on a la Seguridad Inform´atica
Conceptos y principios de la administraci´on de la seguridad
Confidencialidad
Definici´on
La propiedad que esa informaci´on est´e disponible y no sea
divulgada a personas, entidades o procesos no-autorizados
Identificaci´on, Autenticaci´on y Autorizaci´on (Control de
acceso).
14. Seguridad Inform´atica
Introducci´on a la Seguridad Inform´atica
Conceptos y principios de la administraci´on de la seguridad
Integridad
Definici´on
La propiedad de salvaguardar la exactitud e integridad de los
activos.
Integridad de datos / informaci´on. Consistencia
Integridad del proceso de manipulaci´on de datos /
informaci´on.
Consistencia interna y externa
15. Seguridad Inform´atica
Introducci´on a la Seguridad Inform´atica
Conceptos y principios de la administraci´on de la seguridad
Disponibilidad
Definici´on
La propiedad de estar disponible y utilizable cuando lo requiera una
entidad autorizada
16. Seguridad Inform´atica
Introducci´on a la Seguridad Inform´atica
Conceptos y principios de la administraci´on de la seguridad
Objetivos de la seguridad (res´umen)
Confidencialidad
Prevenir la divulgaci´on NO Autorizada de informaci´on sensible.
Integridad
Prevenir la modificaci´on NO Autorizada de los sistemas e
informaci´on.
Disponibilidad
Prevenir interrupci´on del servicio y la perdida de productividad.
El Opuesto a las The BIG three
Revelaci´on (disclosure)
Modificaci´on (alteration)
Destrucci´on - Interrupci´on (detruction - disruption)
17. Seguridad Inform´atica
Introducci´on a la Seguridad Inform´atica
Conceptos y principios de la administraci´on de la seguridad
¿Qu´e es seguridad inform´atica?
Definici´on
La seguridad inform´atica o seguridad en c´omputo son los
mecanismos tecnol´ogicos que protegen los sistemas de informaci´on
y todo lo asociado con ellos (edificios, impresoras, cableado, etc.).
Entonces:
La seguridad inform´atica: Esta enfocado a sistemas de
c´omputo y redes de datos.
La seguridad de la informaci´on: Esta enfocado al
tratamiento y uso de la informaci´on, involucrando sistemas de
c´omputo, redes de datos, personas y procesos.
18. Seguridad Inform´atica
Introducci´on a la Seguridad Inform´atica
Conceptos y principios de la administraci´on de la seguridad
¿Por qu´e es importante la seguridad de la informaci´on?
1 Porque la informaci´on y los procesos, sistemas y redes de
apoyo son activos organizacionales importantes y en algunos
casos estrat´egicos.
2 Porque definir, lograr, mantener y mejorar la seguridad de la
informaci´on puede ser esencial para mantener una ventaja
competitiva, el flujo de caja, rentabilidad, observancia legal e
imagen organizacional.
El 94 % de las empresas que pierden su informaci´on desaparece.4
4
http://www.mundoenlinea.cl/noticia.php?noticia_id=638&categoria_id=35
19. Seguridad Inform´atica
Introducci´on a la Seguridad Inform´atica
Conceptos y principios de la administraci´on de la seguridad
Componentes de la seguridad de la informaci´on
Gesti´on del riesgo
Normativas de seguridad:
pol´ıticas,
normas,
procedimientos,
est´andares,
gu´ıas
Clasificaci´on de la informaci´on
Organizaci´on de la seguridad
Educaci´on en seguridad
Definici´on e implantaci´on de controles
Seguimiento y mejora continuos
20. Seguridad Inform´atica
Introducci´on a la Seguridad Inform´atica
Conceptos y principios de la administraci´on de la seguridad
Activo
Definici´on
Recursos que est´an tratando de proteger
Pueden ser datos, sistemas, personas, edificios, propiedades,
etc.
El valor o la criticidad del activo determina las medidas de
seguridad a implementar.
Las personas son el activo m´as valioso.
21. Seguridad Inform´atica
Introducci´on a la Seguridad Inform´atica
Conceptos y principios de la administraci´on de la seguridad
Activos de un sistema de c´omputo
22. Seguridad Inform´atica
Introducci´on a la Seguridad Inform´atica
Conceptos y principios de la administraci´on de la seguridad
Amenaza
Definici´on
Evento o circunstancia cuya ocurrencia podr´ıa impactar en forma
negativa a una organizaci´on.
La amenazas explotan (toman ventaja de) las vulnerabilidades.
La “entidad” que toma ventaja de una vulnerabilidad, suele
referirse como “agente de la amenaza” (Threat Agent).
Ejemplo de amenazas:
Naturales (terremotos, inundaciones, . . . ), Cyberdelincuentes,
Malware, . . .
23. Seguridad Inform´atica
Introducci´on a la Seguridad Inform´atica
Conceptos y principios de la administraci´on de la seguridad
Amenazas respecto de la confidencialidad
“Shoulder surfing”
Ingenier´ıa Social
Usuarios descuidados
Hacker / Cracker
Masqueraders / Spoofing (Suplantaci´on)
Descarga de archivos sin protecci´on
Actividad de usuario no autorizada
Caballos de Troya
Sniffing / Man-in-the-middle
Trashing (Dumpster Diving)
Emanations (electromagnetic radiation)
. . .
24. Seguridad Inform´atica
Introducci´on a la Seguridad Inform´atica
Conceptos y principios de la administraci´on de la seguridad
Amenazas respecto de la integridad
Ingenier´ıa Social
Usuarios descuidados
Hacker / Cracker
Masqueraders (Suplantaci´on)
Actividad de usuario no autorizada
Descarga de archivos sin protecci´on
Caballos de troya
Virus / Gusanos
Buffer overflow
Trapdoor − Maintenance hook
. . .
25. Seguridad Inform´atica
Introducci´on a la Seguridad Inform´atica
Conceptos y principios de la administraci´on de la seguridad
Amenazas respecto de la disponibilidad
Denegaci´on de servicio (DOS)
Desastres naturales
Acciones humanas − intencionales o accidentales
. . .
26. Seguridad Inform´atica
Introducci´on a la Seguridad Inform´atica
Conceptos y principios de la administraci´on de la seguridad
Vulnerabilidad
Definici´on
Cualquier debilidad que puede explotarse para causar p´erdida o
da˜no al sistema.
Condici´on que podr´ıa permitir que una amenaza se materialice
con mayor frecuencia, impacto o ambas.
Una vulnerabilidad puede ser la ausencia o debilidad en los
controles administrativos, t´ecnicos o f´ısicos.
El punto m´as d´ebil de seguridad de un sistema consiste en el punto
de mayor vulnerabilidad de ese sistema.
27. Seguridad Inform´atica
Introducci´on a la Seguridad Inform´atica
Conceptos y principios de la administraci´on de la seguridad
Riesgo
Definici´on
Probabilidad de que un agente de amenaza explote una
vulnerabilidad, en combinaci´on con el impacto que esto ocasiona.
Se conoce por riesgo a la combinaci´on de probabilidad de
ocurrencia e impacto de una amenaza.
28. Seguridad Inform´atica
Introducci´on a la Seguridad Inform´atica
Conceptos y principios de la administraci´on de la seguridad
Atacante
Atacante
Cualquier cualquier entidad que realiza un ataque. Puede ser:
Persona.
Proceso.
Dispositivo.
29. Seguridad Inform´atica
Introducci´on a la Seguridad Inform´atica
Conceptos y principios de la administraci´on de la seguridad
¿Qui´en es un intruso?
Intruso
Persona que intenta acceder a un sistema inform´atico sin
autorizaci´on. adj. Que se ha introducido sin derecho.
Un cracker es una persona que intenta acceder a un sistema
inform´atico sin autorizaci´on.
Estas personas tienen a menudo malas intenciones, en
contraste con los hackers, y pueden disponer de muchos
medios para introducirse en un sistema.
30. Seguridad Inform´atica
Introducci´on a la Seguridad Inform´atica
Conceptos y principios de la administraci´on de la seguridad
Compromiso de seguridad
Definici´on
Cualquier forma posible de p´erdida o da˜no en un sistema de
c´omputo.
comprometer la seguridad de un sistema equivale a la posibilidad
de provocar p´erdida o da˜no al sistema.
31. Seguridad Inform´atica
Introducci´on a la Seguridad Inform´atica
Conceptos y principios de la administraci´on de la seguridad
Evento de seguridad de la informaci´on
Definici´on
Una ocurrencia identificada del estado de un sistema, servicio o red
indicando una posible violaci´on de la pol´ıtica de seguridad de la
informaci´on o falla en las salvaguardas, o una situaci´on
previamente desconocida que puede ser relevante para la seguridad.
32. Seguridad Inform´atica
Introducci´on a la Seguridad Inform´atica
Conceptos y principios de la administraci´on de la seguridad
Contramedidas o controles
Definici´on
Cualquier tipo de medida que permita detectar, prevenir o
minimizar el riesgo asociado con la ocurrencia de una
amenaza espec´ıfica.
Ejemplos:
Contrase˜nas robustas.
Mecanismos de control de acceso.
Antivirus
El est´andar ISO/IEC 27002:2005 define 134 controles
33. Seguridad Inform´atica
Introducci´on a la Seguridad Inform´atica
Conceptos y principios de la administraci´on de la seguridad
Objetivo de las contramedias o controles
Reducir los efectos producidos por las amenazas de seguridad
(threats) y vulnerabilidades (vulnerabilities) a un nivel
tolerable por la empresa.
Estos controles pueden ser:
Preventivos / Detectivos / Correctivos
F´ısicos / T´ecnicos (L´ogicos) / Administrativos
34. Seguridad Inform´atica
Introducci´on a la Seguridad Inform´atica
Conceptos y principios de la administraci´on de la seguridad
Tipos de Controles
Controles Administrativos
Administraci´on de responsabilidades necesarias para proteger
los activos.
Controles Suaves. (Pol´ıticas, procedimientos, gu´ıas, est´andares)
Controles T´ecnicos.
Mecanismos l´ogicos de protecci´on.
Software o Hardware
Controles F´ısicos
Destinados a proteger las instalaciones.
35. Seguridad Inform´atica
Introducci´on a la Seguridad Inform´atica
Conceptos y principios de la administraci´on de la seguridad
Control de seguridad de la informaci´on (2)
Fuente: Harris Shon, CISSP All-In-One Exam Guide, p 57, McGraw-Hill Professional, 2007.
36. Seguridad Inform´atica
Introducci´on a la Seguridad Inform´atica
Conceptos y principios de la administraci´on de la seguridad
ISO/IEC 27002:2013
Fuente: http://www.iso27000.es/download/ControlesISO27002-2013.pdf
37. Seguridad Inform´atica
Introducci´on a la Seguridad Inform´atica
Conceptos y principios de la administraci´on de la seguridad
Medidas de protecci´on contra la perdida de
confidencialidad
Cifrado de datos (origen, transito y destino)
Estrictos mecanismos de control de acceso
Clasificaci´on de la informaci´on
Capacitaci´on
Procedimientos
38. Seguridad Inform´atica
Introducci´on a la Seguridad Inform´atica
Conceptos y principios de la administraci´on de la seguridad
Medidas de protecci´on contra la perdida de integridad
Menor Privilegio − Need−to−Know Access (Otorgar acceso
solo a lo necesario)
Separaci´on de Deberes / Tareas (Separation of Duties)
Rotaci´on de Deberes / Tareas (Rotation of Duties)
Procedimientos de control de cambios
Integrity checkers (Tripwire)
Algoritmos de hash
39. Seguridad Inform´atica
Introducci´on a la Seguridad Inform´atica
Conceptos y principios de la administraci´on de la seguridad
Medidas de protecci´on contra la perdida de disponibilidad
Conjunto de Controles: F´ısicos, T´ecnicos y Administrativos
Seguridad f´ısica
Mecanismos de tolerancia a fallos
Plan de contingencia
Procedimientos operativos
40. Seguridad Inform´atica
Introducci´on a la Seguridad Inform´atica
Conceptos y principios de la administraci´on de la seguridad
Relaci´on entre los diferentes conceptos de seguridad
Fuente: Shon Harris, CISSP All-In-One Exam Guide, McGraw-Hill Professional, 2007, p. 63
41. Seguridad Inform´atica
Introducci´on a la Seguridad Inform´atica
Conceptos y principios de la administraci´on de la seguridad
Relaci´on entre los diferentes conceptos de seguridad
Fuente: Shon Harris, CISSP All-In-One Exam Guide, McGraw-Hill Professional, 2007, p. 63
42. Seguridad Inform´atica
Introducci´on a la Seguridad Inform´atica
Conceptos y principios de la administraci´on de la seguridad
Administraci´on de Seguridad de la Informaci´on
Objetivo
Proteger los activos de informaci´on de la organizaci´on
Comprende:
Gesti´on del riesgo
Normativas de seguridad: pol´ıticas, normas, procedimientos,
est´andares, gu´ıas
Clasificaci´on de la informaci´on
Organizaci´on de la seguridad
Educaci´on en seguridad
Definici´on e implantaci´on de controles
Seguimiento y mejora continuos
43. Seguridad Inform´atica
Introducci´on a la Seguridad Inform´atica
Conceptos y principios de la administraci´on de la seguridad
Enfoque Top-Down
La seguridad de la informaci´on debe ser preocupaci´on de la
alta direcci´on de la organizaci´on.
Definitivamente NO debe circunscribirse el ´area de TI o al ´ara
de seguridad.
Enfoque TOP-DOWN
44. Seguridad Inform´atica
Introducci´on a la Seguridad Inform´atica
Conceptos y principios de la administraci´on de la seguridad
Funci´on del Information Security Manager
Funci´on
Establecer y mantener un Programa Integral de Seguridad, el
cual permita garantizar la existencia de tres requerimientos b´asicos:
Confidencialidad, Integridad y Disponibilidad, sobre los activos de
informaci´on de la organizaci´on.
Determinar objetivos, alcance, pol´ıticas, prioridades,
est´andares y estrat´egias.
45. Seguridad Inform´atica
Introducci´on a la Seguridad Inform´atica
Conceptos y principios de la administraci´on de la seguridad
Ubicaci´on dentro de la estructura organizacional
Debe ser independiente de otras ´areas de la organizaci´on:
Como staff de la alta gerencia:
46. Seguridad Inform´atica
Introducci´on a la Seguridad Inform´atica
Conceptos y principios de la administraci´on de la seguridad
Posibles inconvenientes con la alta gerencia
Falta de entendimiento sobre la necesidad de seguridad.
Concepci´on de la seguridad como costosa e innecesaria
Incapacidad de identificar amenazas y vulnerabilidades.
Incapacidad para estimar el impacto y probabilidad de los
riesgos relacionados con los recursos.
Creer que la implementaci´on de seguridad interferir´a con los
objetivos de negocio.
Creer que la seguridad es un tema de TI.
47. Seguridad Inform´atica
Introducci´on a la Seguridad Inform´atica
Conceptos y principios de la administraci´on de la seguridad
Sistema Confiable (Trustworthy System)
Definici´on
Aquel que posee la combinaci´on apropiada de confidencialidad,
integridad y disponibilidad a efectos de soportar los objetivos
particulares de negocio fijados por la organizaci´on.
48. Seguridad Inform´atica
Introducci´on a la Seguridad Inform´atica
Conceptos y principios de la administraci´on de la seguridad
Est´andares de seguridad inform´atica
Fuente: Data Cetenrs Hoy: Protecci´on y administraci´on de datos en la empresa, Alfaomega, 2014.
49. Seguridad Inform´atica
Introducci´on a la Seguridad Inform´atica
Evoluci´on hist´orica de la seguridad
1 Introducci´on a la Seguridad Inform´atica
Conceptos y principios de la administraci´on de la seguridad
Evoluci´on hist´orica de la seguridad
Amenazas a la seguridad
Control de Acceso
Hackers, crackers y sus variantes
51. Seguridad Inform´atica
Introducci´on a la Seguridad Inform´atica
Evoluci´on hist´orica de la seguridad
Primera Revoluci´on: La Computadora Personal
En 1981 IBM introduce la primera computadora personal
(PC) alrededor de la familia de procesadores 8086.
La computadora llega al hogar, las escuelas y oficinas en una
variedad de aplicaciones.
El control de procesamiento que se encontraba presente en el
centro de c´omputo se pone en manos de los usuarios.
Los sistemas de escritorio no fueron dise˜nados con la
seguridad en mente.
No todos los usuarios de PC son expertos y el mal uso de los
equipos puede comprometer la seguridad.
Existen m´as recursos que perder y m´as formas de hacerlo.
52. Seguridad Inform´atica
Introducci´on a la Seguridad Inform´atica
Evoluci´on hist´orica de la seguridad
Problemas de seguridad en las computadoras personales
Accesibilidad f´ısica al hardware Facilidad de robo.
53. Seguridad Inform´atica
Introducci´on a la Seguridad Inform´atica
Evoluci´on hist´orica de la seguridad
Problemas de seguridad en las computadoras personales
Accesibilidad f´ısica al hardware Facilidad de robo.
Software C´odigo malicioso (virus): compromete la integridad
de informaci´on, disponibilidad del servicio,
confidencialidad, etc.
54. Seguridad Inform´atica
Introducci´on a la Seguridad Inform´atica
Evoluci´on hist´orica de la seguridad
Problemas de seguridad en las computadoras personales
Accesibilidad f´ısica al hardware Facilidad de robo.
Software C´odigo malicioso (virus): compromete la integridad
de informaci´on, disponibilidad del servicio,
confidencialidad, etc.
Respaldos No se ejecutan por falta de inter´es de los usuarios.
55. Seguridad Inform´atica
Introducci´on a la Seguridad Inform´atica
Evoluci´on hist´orica de la seguridad
Problemas de seguridad en las computadoras personales
Accesibilidad f´ısica al hardware Facilidad de robo.
Software C´odigo malicioso (virus): compromete la integridad
de informaci´on, disponibilidad del servicio,
confidencialidad, etc.
Respaldos No se ejecutan por falta de inter´es de los usuarios.
Concientizaci´on de seguridad a los usuarios El mejor software del
mundo para proteger los activos de informaci´on no
sirve si los usuarios no ponen en pr´actica buenos
h´abitos de seguridad.
56. Seguridad Inform´atica
Introducci´on a la Seguridad Inform´atica
Evoluci´on hist´orica de la seguridad
Segunda Revoluci´on: Internet
Internet proporciona la infraestructura para la comunicaci´on e
intercambio de informaci´on.
Utiliza el protocolo TCP/IP para las comunicaciones.
Hace posible servicios como: correo electr´onico, transferencia
de archivos, acceso a sistemas remotos, conferencias
interactivas, grupos de noticias y acceso a WWW.
Internet y TCP/IP no fueron dise˜nados pensando en seguridad, su
filosof´ıa es el procesamiento distribuido y las comunicaciones
abiertas. De este hecho se derivan sus principales vulnerabilidades.
57. Seguridad Inform´atica
Introducci´on a la Seguridad Inform´atica
Evoluci´on hist´orica de la seguridad
Internet hace algunos a˜nos
http://personalpages.manchester.ac.uk/staff/m.dodge/cybergeography/atlas/more_isp_maps.html
58. Seguridad Inform´atica
Introducci´on a la Seguridad Inform´atica
Evoluci´on hist´orica de la seguridad
Internet en nuestros d´ıas
http://www.cheswick.com/ches/map/gallery/index.html
59. Seguridad Inform´atica
Introducci´on a la Seguridad Inform´atica
Evoluci´on hist´orica de la seguridad
N´umero de vulnerabilidades reportadas
http://www.cert.org/stats/
60. Seguridad Inform´atica
Introducci´on a la Seguridad Inform´atica
Evoluci´on hist´orica de la seguridad
Ataques reportados en el 2004
http://www.gocsi.com/
61. Seguridad Inform´atica
Introducci´on a la Seguridad Inform´atica
Evoluci´on hist´orica de la seguridad
Ataques reportados en el 2005
http://www.gocsi.com/
62. Seguridad Inform´atica
Introducci´on a la Seguridad Inform´atica
Evoluci´on hist´orica de la seguridad
Ataques reportados en el 2006
http://www.gocsi.com/
63. Seguridad Inform´atica
Introducci´on a la Seguridad Inform´atica
Evoluci´on hist´orica de la seguridad
Ataques reportados en el 2007
http://www.gocsi.com/
68. Seguridad Inform´atica
Introducci´on a la Seguridad Inform´atica
Evoluci´on hist´orica de la seguridad
Diez pa´ıses m´as vulnerables a los ataques cibern´eticos
1 Indonesia
2 China
3 Thailand
4 Philippines
5 Malaysia
6 India
7 Mexico
8 UAE
9 Taiwan
10 Hong Kong.
http://cyberintelligence.in/top-ten-countries-with-weak-cyber-security/
69. Seguridad Inform´atica
Introducci´on a la Seguridad Inform´atica
Evoluci´on hist´orica de la seguridad
Ataques m´as utilizados
http://cyberintelligence.in/top-ten-countries-with-weak-cyber-security/
70. Seguridad Inform´atica
Introducci´on a la Seguridad Inform´atica
Evoluci´on hist´orica de la seguridad
Limitantes en la investigaci´on
Falta de legislaci´on que responsabilice y controle a los
Proveedores de Servicios de Internet en relaci´on a los datos
que se transmiten y almacenan en sus servidores y dispositivo
de conexi´on.
Falta de legislaci´on que controle y garantice la producci´on de
software que indique niveles de vulnerabilidad del mismo.
Falta de acuerdos interinstitucionales que permitan lograr
eficiencia en la investigaci´on evitando la duplicidad de
esfuerzos.
Falta de acuerdos Internacionales que permitan el
establecimiento claro de protocolos de trabajo en la
persecuci´on de delincuentes cibern´eticos mas all´a de nuestras
fronteras.
Mas del 50 % de los delitos reconocidos como graves en el C´odigo
Penal Federal Se pueden cometer a trav´es de TIC’s
71. Seguridad Inform´atica
Introducci´on a la Seguridad Inform´atica
Amenazas a la seguridad
1 Introducci´on a la Seguridad Inform´atica
Conceptos y principios de la administraci´on de la seguridad
Evoluci´on hist´orica de la seguridad
Amenazas a la seguridad
Control de Acceso
Hackers, crackers y sus variantes
72. Seguridad Inform´atica
Introducci´on a la Seguridad Inform´atica
Amenazas a la seguridad
Amenaza
Definici´on
Evento o circunstancia cuya ocurrencia podr´ıa impactar en forma
negativa a una organizaci´on.
La amenazas explotan (toman ventaja de) las vulnerabilidades.
La “entidad” que toma ventaja de una vulnerabilidad, suele
referirse como “agente de la amenaza” (Threat Agent).
Ejemplo de amenazas:
Naturales (terremotos, inundaciones, . . . ), Cyberdelincuentes,
Malware, . . .
74. Seguridad Inform´atica
Introducci´on a la Seguridad Inform´atica
Amenazas a la seguridad
Interrupci´on
Definici´on
Un activo del sistema se pierde, se hace no disponible o inutilizable.
Ejemplos:
Destrucci´on maliciosa de un dispositivo.
Borrado de un programa o de un archivo de datos.
Malfuncionamiento del manejador de archivos del sistema
operativo que trajera como consecuencia que no se pueda
hallar un archivo particular en el disco duro.
75. Seguridad Inform´atica
Introducci´on a la Seguridad Inform´atica
Amenazas a la seguridad
Ejemplo interrupci´on con LOIC
http://sourceforge.net/projects/loic/
76. Seguridad Inform´atica
Introducci´on a la Seguridad Inform´atica
Amenazas a la seguridad
Intercepci´on
Definici´on
Alguna parte no autorizada logra acceso a un activo del sistema.
Ejemplos:
Copiado il´ıcito de programas o archivos de datos.
La intervenci´on del canal para obtener datos sobre la red.
77. Seguridad Inform´atica
Introducci´on a la Seguridad Inform´atica
Amenazas a la seguridad
Ejemplo de intercepci´on con Subterfuge
https://code.google.com/p/subterfuge/
78. Seguridad Inform´atica
Introducci´on a la Seguridad Inform´atica
Amenazas a la seguridad
Modificaci´on
Definici´on
Cuando una parte no autorizada logra acceso al activo del sistema
y puede manipular ese activo.
Ejemplos:
Cambiar datos en una base de datos.
Alterar un programa para que realice alguna computaci´on
adicional o distinta a la que realiza
Modificar datos en una comunicaci´on, entre otras acciones.
80. Seguridad Inform´atica
Introducci´on a la Seguridad Inform´atica
Amenazas a la seguridad
Ejemplo: Fabricaci´on
Definici´on
Una parte no autorizada puede fabricar objetos falsos en un
sistema.
Ejemplos:
Inserci´on de transacciones espurias en un sistema de
comunicaci´on en red.
Agregar registros a una base datos ya existente.
85. Seguridad Inform´atica
Introducci´on a la Seguridad Inform´atica
Amenazas a la seguridad
Ejemplos Amenazas Naturales
Relacionadas con clima fr´ıo
Avalancha de nieve
Severa tormenta de hielo, tormenta de granizo
Viento fuerte o prolongado
Relacionadas con clima c´alido
Lluvias severa o prolongada
Tormentas
Inundaciones
inundaciones repentinas
iinundaciones de r´ıo
inundaciones urbanas
Sequ´ıa (puede afectar a las zonas urbanas, rurales y agr´ıcolas)
Incendio
Incendios forestales
Incendios urbanos, rurales, agr´ıcolas
86. Seguridad Inform´atica
Introducci´on a la Seguridad Inform´atica
Amenazas a la seguridad
Ejemplos Amenazas Naturales (2)
Relacionadas con clima c´alido (2)
Tormentas tropicales
Huracanes, ciclones, tifones
Tornados
Riesgos Geol´ogicos
Terremoto
Tsunami
Erupci´on volc´anica
La ceniza volc´anica
Flujo de lava
Alud de lodo
Desplazamientos
87. Seguridad Inform´atica
Introducci´on a la Seguridad Inform´atica
Amenazas a la seguridad
Ejemplo Amenazas de origen humano
Terrorismo
Bombas
Los ataques armados
Liberaci´on de material peligroso (riesgo biol´ogico, radioactivo)
ciber ataque
Ataque biol´ogico (aire, agua, alimentos)
Ataque a medios de transporte (aeropuertos, puertos,
ferrocarriles de agua)
Ataque a infraestructura cr´ıtica (aeropuertos, edificios
gubernamentales, bases militares, servicios p´ublicos, suministro
de agua)
Secuestro
Fuego
incendio provocado
accidental
88. Seguridad Inform´atica
Introducci´on a la Seguridad Inform´atica
Amenazas a la seguridad
Ejemplo Amenazas de origen humano (2)
Ciber ataque
Amenaza o alarde
Intrusi´on menos
Intrusi´on mayor
Interrupci´on total
Infraestructura de red deteriorada (Internet, columna vertebral,
etc)
Disturbios civiles, motines
Protestas
Las protestas pol´ıticas generales
Las protestas dirigidas (espec´ıficamente a su empresa, por
ejemplo)
89. Seguridad Inform´atica
Introducci´on a la Seguridad Inform´atica
Amenazas a la seguridad
Ejemplo de relaci´on Amenaza y Vulnerabilidad
La amenaza Conficker, se esparce por tres diferentes vectores:
1 Falta de la actualizaci´on MS08-067 (http://technet.
microsoft.com/en-us/security/bulletin/ms08-067).
2 Dispositivos de almacenamiento USB infectados que ejectuan
el comando “autorun” en sistemas operativos Windows.
3 Contrase˜nas d´ebiles usadas en recursos compartidos.
90. Seguridad Inform´atica
Introducci´on a la Seguridad Inform´atica
Amenazas a la seguridad
Jinetes del Apocalipsis Electr´onico
1 Spam
2 Bugs
3 Negaci´on de servicio
4 C´odigo malicioso
91. Seguridad Inform´atica
Introducci´on a la Seguridad Inform´atica
Amenazas a la seguridad
Spam
Definici´on
Mensajes no solicitados, habitualmente de tipo publicitario,
enviados en grandes cantidades (incluso masivas) que perjudican
de alguna o varias maneras al receptor.
Se estima que el 88 % del correo electr´onico es spam.
Causa perdidas por $20 mil millones de dlls.
http://es.wikipedia.org/wiki/Spam
92. Seguridad Inform´atica
Introducci´on a la Seguridad Inform´atica
Amenazas a la seguridad
Bugs
Definici´on
Es el resultado de un fallo o deficiencia durante el proceso de
creaci´on de programas (software).
En 1947, los creadores de
Mark II informaron del primer
caso de error en un ordenador
causado por un bicho.
http://es.wikipedia.org/wiki/Error_de_software
93. Seguridad Inform´atica
Introducci´on a la Seguridad Inform´atica
Amenazas a la seguridad
Negaci´on de Servicio
Definici´on
Ataque a un sistema de computadoras o red que causa que un
servicio o recurso sea inaccesible a los usuarios leg´ıtimos.
Normalmente provoca la p´erdida de la conectividad de la red por el
consumo del ancho de banda de la red de la v´ıctima o sobrecarga
de los recursos computacionales del sistema de la v´ıctima.
Se genera mediante la saturaci´on de los puertos con flujo de
informaci´on, haciendo que el servidor se sobrecargue y no pueda
seguir prestando servicios, por eso se le dice ”denegaci´on”, pues
hace que el servidor no d´e abasto a la cantidad de usuarios. Esta
t´ecnica es usada por los llamados crackers para dejar fuera de
servicio a servidores objetivo.
94. Seguridad Inform´atica
Introducci´on a la Seguridad Inform´atica
Amenazas a la seguridad
Negaci´on de Servicio (DoS)
Tipos:
TCP
SYN
ACK
NULL
ICMP
UDP
Randomized SRC IP:
Full 32 bits
Subnet /24
Examples: trinoo, tfn2k, stacheldraht, mstream, etc.
95. Seguridad Inform´atica
Introducci´on a la Seguridad Inform´atica
Amenazas a la seguridad
C´odigo Malicioso
Definici´on
Es un software que tiene como objetivo infiltrarse en el sistema y
da˜nar la computadora sin el conocimiento de su due˜no, con
finalidades muy diversas, ya que en esta categor´ıa encontramos
desde un troyano a un spyware.
96. Seguridad Inform´atica
Introducci´on a la Seguridad Inform´atica
Amenazas a la seguridad
Tipos de Malware
Virus
Macrovirus
Bombas L´ogicas
Troyanos
Backdooors
Polimorfismo/Metamofirmos
Virus de Bootsector
Worms (I-worms, p2p,
@mm)
Octopus / Rabbits
Hydras
TSR
Script
Programas peligrosos
Rootkits
Spyware/ADware
Vgen Droopers, Dialers,
. . .
Fuente: Peter Szor, The art of computer virus research and defense, Addison-Wesley, 2005.
97. Seguridad Inform´atica
Introducci´on a la Seguridad Inform´atica
Amenazas a la seguridad
Worm
Definici´on
Agente infeccioso capaz de autoduplicarse de manera aut´onoma,
capaz de buscar nuevos sistemas e infectarlos a trav´es de la red.
98. Seguridad Inform´atica
Introducci´on a la Seguridad Inform´atica
Amenazas a la seguridad
Ejemplo de gusano: Sapphire/Slammer Worm
http://www.caida.org/publications/papers/2003/sapphire/sapphire.html
99. Seguridad Inform´atica
Introducci´on a la Seguridad Inform´atica
Amenazas a la seguridad
Ejemplo de gusano: Sapphire/Slammer Worm
http://www.caida.org/publications/papers/2003/sapphire/sapphire.html
100. Seguridad Inform´atica
Introducci´on a la Seguridad Inform´atica
Amenazas a la seguridad
Pa´ıses m´as atacados por software malicioso de agosto del
2011 a agosto del 2012
http://securitylabs.websense.com/content/CrimewarePhishing.aspx
101. Seguridad Inform´atica
Introducci´on a la Seguridad Inform´atica
Amenazas a la seguridad
¿De donde viene el malware?
http://www.stopbadware.org/home/reports
102. Seguridad Inform´atica
Introducci´on a la Seguridad Inform´atica
Amenazas a la seguridad
¿Donde es m´as vulnerable la informaci´on confidencial?
Fuente: Informe de investigaci´on de ESG, Protecting Confidential Data Revisited, abril de 2009
103. Seguridad Inform´atica
Introducci´on a la Seguridad Inform´atica
Control de Acceso
1 Introducci´on a la Seguridad Inform´atica
Conceptos y principios de la administraci´on de la seguridad
Evoluci´on hist´orica de la seguridad
Amenazas a la seguridad
Control de Acceso
Hackers, crackers y sus variantes
104. Seguridad Inform´atica
Introducci´on a la Seguridad Inform´atica
Control de Acceso
¿Qu´e es el control de acceso?
Definici´on
Mecanismos empleados para proteger los recursos de un sistema de
c´omputo de accesos no autorizados.
105. Seguridad Inform´atica
Introducci´on a la Seguridad Inform´atica
Control de Acceso
¿Qu´e es acceso?
Definici´on
Transferencia de informaci´on desde un sujeto a un objeto
Los sujetos son entidades
activas, que pueden este
representadas por:
Usuarios
Programas
Procesos
Computadoras, . . .
Los objetos son entidades
pasivas, que pueden este
representadas por:
Archivos
Bases de datos
Programas
Impresoras
Medios de
almacenamiento, . . .
106. Seguridad Inform´atica
Introducci´on a la Seguridad Inform´atica
Control de Acceso
Control de acceso
El sujeto es siempre la entidad que recibe informaci´on acerca
del objeto, o datos que provienen de ´este.
El sujeto es tambi´en la entidad que altera o modifica la
informaci´on del objeto, o bien, los datos almacenados dentro
de ´el.
107. Seguridad Inform´atica
Introducci´on a la Seguridad Inform´atica
Control de Acceso
Objetivo del control de acceso
El control de acceso se implementa para asegurar:
Confidencialidad: Necesidad de que la informaci´on s´olo sea
conocida por personas autorizadas.
Integridad: Caracter´ıstica que hace que el contenido de la
informaci´on permanezca inalterado, a menos que sea
modificado por personal atomizado.
Disponibilidad: Capacidad que permite que la informaci´on se
encuentre siempre disponible, para que pueda ser procesada
por el personal autorizado.
108. Seguridad Inform´atica
Introducci´on a la Seguridad Inform´atica
Control de Acceso
Pasos para acceder a un objeto
El control de acceso gobierna el acceso de sujetos a objetos
109. Seguridad Inform´atica
Introducci´on a la Seguridad Inform´atica
Control de Acceso
Identificaci´on
Definici´on
Forma en la cual los usuarios comunican su identidad a un sistema.
Identidad: Conjunto de rasgos o informaci´on que
individualizan o distinguen algo y confirman que es realmente
lo que se dice que es.
Un usuario puede utilizar como identidad:
Nombre de usuario (Username)
Logon ID
PIN
¨Identificaci´on es un paso necesario para lograr la autenticaci´on y
autorizaci´on. Equivale a la presentaci´on de credenciales a un
autoridad”
110. Seguridad Inform´atica
Introducci´on a la Seguridad Inform´atica
Control de Acceso
Autenticaci´on
Definici´on
Es el proceso por el cual se prueba que la informaci´on de
identificaci´on se corresponde con el sujeto que la presenta.
La autenticaci´on requiere que el sujeto proporcione
informaci´on adicional que debe corresponder exactamente
con la identidad indicada.
El m´etodo m´as com´un, es el empleo de contrase˜nas.
“Equivale a la validaci´on por parte de la autoridad de las
credenciales presentadas.”
111. Seguridad Inform´atica
Introducci´on a la Seguridad Inform´atica
Control de Acceso
Autenticaci´on (2)
Los tipos de informaci´on m´as comunes que pueden ser empleados
son:
Tipo 1: Un factor de autenticaci´on por Tipo 1 es “Algo que
el usuario conoce”, como una contrase˜na, un PIN, . . .
Tipo 2: Un factor de autenticaci´on por Tipo 2 es “Algo que
el usuario tiene”, como una tarjeta inteligente, un token, . . .
Tipo 3: Un factor de autenticaci´on por Tipo 3 es “Algo que
el usuario es”, como su huella digital, an´alisis de voz, esc´aner
de retina o iris , . . .
112. Seguridad Inform´atica
Introducci´on a la Seguridad Inform´atica
Control de Acceso
T´ecnicas m´as comunes de Identificaci´on y Autenticaci´on
Entre las principales t´ecnicas de mayor utilizaci´on en la
actualidad, encontramos:
Contrase˜nas
Sistemas biom´etricos
Tockens
Tickets
113. Seguridad Inform´atica
Introducci´on a la Seguridad Inform´atica
Control de Acceso
¿Qu´e son las contrase˜nas?
Definici´on
Una contrase˜na o clave (password en ingles) es una cadena
alfanum´erica utilizada para autenticar una identidad. Esta cadena
debe permanecer en secreto5.
Prueban nuestra identidad a trav´es de un proceso de
autenticaci´on ante sistemas inform´aticos.
Aseguran nuestra privacidad.
Garantizan el no-repudio
5
The 2011 SNIA Dictionary
114. Seguridad Inform´atica
Introducci´on a la Seguridad Inform´atica
Control de Acceso
Contrase˜nas (Password)
Es la t´ecnica de autenticaci´on m´as usada, pero tambi´en es
considerada la m´as d´ebil.
Las fallas habituales de seguridad se deben a:
Usuarios que eligen frecuentemente contrase˜nas que son f´aciles
de recordar y, en consecuencia, f´aciles de romper.
Las contrase˜nas aleatorias son dif´ıciles de recordar.
Las contrase˜nas son f´aciles de compartir, olvidar y escribir.
Pueden ser robadas f´acilmente, por observaci´on, grabaci´on,etc.
Algunas contrase˜nas se transmiten en texto claro o protegidas
por t´ecnicas f´aciles de romper.
Contrase˜nas cortas pueden ser descubiertas r´apidamente por
ataques de fuerza bruta, etc.
115. Seguridad Inform´atica
Introducci´on a la Seguridad Inform´atica
Control de Acceso
Antecedentes de las contrase˜nas
Los primeros registros hist´oricos que se tienen datan de los
tiempos de los romanos.
En la antig¨uedad , los centinelas solicitaban el santo y se˜na
(contrase˜na) para permitir el paso.
Actualmente, se utilizan para identificarse en sistemas
operativos, correo electr´onico, redes sociales, sitios web, . . .
116. Seguridad Inform´atica
Introducci´on a la Seguridad Inform´atica
Control de Acceso
Tipos de contrase˜nas
Existen dos tipos de contrase˜nas:
1 Est´aticas
2 Din´amicas
Las contrase˜nas Est´aticas siempre permanecen iguales y solo
cambian cuando expiare su tiempo de vida.
Las contrase˜nas Din´amicas cambian despu´es de un periodo
de tiempo de uso. Las One-Time Password son una variante
de esta categor´ıa.
117. Seguridad Inform´atica
Introducci´on a la Seguridad Inform´atica
Control de Acceso
One Time Password
Esta t´ecnica utiliza contrase˜nas que s´olo tienen validez para
un usuario espec´ıfico durante una determinada sesi´on.
Un ejemplo caracter´ıstico lo constituye el sistema S/Key.
El sistema utiliza algoritmos de hashing de una v´ıa con el fin
de crear un esquema de contrase˜nas de ´unica vez.
Aqu´ı las contrase˜nas son evitadas a trav´es de la red, pero
luego que la contrase˜na fue utilizada, caduca y no es v´alida
para ser utilizada nuevamente.
118. Seguridad Inform´atica
Introducci´on a la Seguridad Inform´atica
Control de Acceso
One Time Password (2)
Componentes de S/Key:
Cliente: Pide el nombre de usuario. No realiza
almacenamiento de contrase˜nas.
Servidor: Procesa la contrase˜na, almacena la contrase˜na de
´unica vez y tambi´en le provee al cliente el valor inicial para
calcular el hash.
Calculador de claves: Es la funci´on de hash para la
contrase˜na de ´unica vez.
119. Seguridad Inform´atica
Introducci´on a la Seguridad Inform´atica
Control de Acceso
Ataques a contrase˜nas
Cuando un atacante busca obtener las contrase˜nas, puede
utilizar diferentes m´etodos:
An´alisis de tr´afico de red
Acceso al archivo de contrase˜nas
Ataques por fuera bruta
Ataques por diccionario
Ingenier´ıa social
120. Seguridad Inform´atica
Introducci´on a la Seguridad Inform´atica
Control de Acceso
Pol´ıticas de definici´on de contrase˜nas
Muchas organizaciones poseen pol´ıticas de definici´on de
contrase˜nas, las cuales comprenden una serie de restricciones:
Longitud m´ınima
Duraci´on m´ınima y m´axima
No reutilizar el nombre de usuario o parte del mismo
Guardar hist´orico de contrase˜na
Utilizar may´usculas, min´usculas, n´umeros, caracteres especiales
Prevenir reuso
121. Seguridad Inform´atica
Introducci´on a la Seguridad Inform´atica
Control de Acceso
Sistemas Biom´etricos
Los sistemas biom´etricos se basan en caracter´ısticas f´ısicas del
usuario a identificar o en patrones de conducta.
El proceso general de autenticaci´on sigue unos pasos comunes
a todos los modelos de autenticaci´on biom´etrica:
Extracci´on de ciertas caracter´ısticas de la muestra (por
ejemplo, el detalle de una huella dactilar).
Comparaci´on de tales caracter´ısticas con las almacenadas en
una base de datos.
Finalmente la decisi´on de si el usuario es v´alido o no.
122. Seguridad Inform´atica
Introducci´on a la Seguridad Inform´atica
Control de Acceso
Sistemas Biom´etricos (2)
La mayor´ıa de los dispositivos biom´etricos tienen un ajuste de
sensibilidad para que puedan ser configurados de manera que
operen en forma m´as sensible o menos sensible.
Cuando un dispositivo es demasiado sensible, ocurre un error
Tipo 1, es decir, un sujeto v´alido no es autenticado; eso se
conoce como Tasa de Falso Rechazados (FRR).
Cuando un dispositivo no es lo suficientemente sensible, ocurre
un error Tipo 2, es decir, un sujeto inv´alido es autenticado;
esto se conoce como Tasa de Falsas Aceptaciones (FAR).
El punto en el cual FRR=FAR es conocido como Crossover
Error Rate (CER).
El nivel CER es usado como un est´andar para evaluar el
desempe˜no de los dispositivos biom´etricos.
123. Seguridad Inform´atica
Introducci´on a la Seguridad Inform´atica
Control de Acceso
Crossover error rate
Fuente: IS Auditing Guideline: G36 Biometric Controls
124. Seguridad Inform´atica
Introducci´on a la Seguridad Inform´atica
Control de Acceso
Sistemas biom´etricos m´as utilizados
Huellas digitales
Reconocimiento de retina
Reconocimiento de iris
Reconocimietno facial
Geometr´ıa de la mano
Reconocimiento de la palma
Verificaci´on de voz
Fuente: Eric Conrad, Eleventh Hour CISSP,Syngress,
2010.
125. Seguridad Inform´atica
Introducci´on a la Seguridad Inform´atica
Control de Acceso
Sistemas biom´etricos
Adem´as de los costos hay tres puntos cr´ıticos a determinar al
momento de elegir un sistema biom´etrico como m´etodo de
control de acceso:
Aceptaci´on del usuario
Tiempo de implantaci´on
Precisi´on
Adicionalmente tambi´en son importantes:
Facilidad de implementaci´on
Tama˜no y manejo de las muestras
126. Seguridad Inform´atica
Introducci´on a la Seguridad Inform´atica
Control de Acceso
Enrollment
Definici´on
Es el proceso por medio del cual se toma la muestra del atributo
f´ısico del individuo, la cual ser´a almacenada en una base de datos
sobre la cual se verificar´a posteriormente su identidad
Muchas veces se necesita tomar repetidas muestras del
atributo hasta que se logra finalmente.
Esto puede hacer que los tiempo de enrollment sean altos y el
sistema tenga baja aceptaci´on.
127. Seguridad Inform´atica
Introducci´on a la Seguridad Inform´atica
Control de Acceso
Ventajas de los Sistemas Biom´etricos
No pueden ser prestados, como una llave o token y no se
pueden olvidar como una contrase˜na.
Buena relaci´on entre facilidad de uso, costo y precisi´on.
Permiten la identificaci´on ´unica de un individuo, a´un en casos
de bases de datos de gran tama˜no.
Duran para siempre. . .
Logran que los procesos de login y autenticaci´on no requieran
esfuerzo alguno.
128. Seguridad Inform´atica
Introducci´on a la Seguridad Inform´atica
Control de Acceso
Desventajas de los Sistemas Biom´etricos
Siguen siendo particularmente caros.
A´un existe rechazo o desconfianza por parte de los usuarios.
129. Seguridad Inform´atica
Introducci´on a la Seguridad Inform´atica
Control de Acceso
Sistemas Biom´etricos y Privacidad
Seguimiento y Vigilancia: Permiten seguir y vigilar los
movimientos de una persona.
Anonimicidad: Si la identificaci´on est´a asociada a una base
de datos, se pierde el anonimato al acceder a servicios a trav´es
de sistemas biom´etricos.
Profiling: La recopilaci´on de datos acerca de de transacciones
realizadas por un indiviudo en particular, permite definir un
perfil de las preferencias, afiliaciones y creencias de ese
individuo.
130. Seguridad Inform´atica
Introducci´on a la Seguridad Inform´atica
Control de Acceso
Tokens
Son dispositivos generadores de contrase˜nas que un sujeto
lleva con ´el.
Los dispositivos tokens pertenecen a la clase “Algo que el
usuario tiene” (Tipo 2).
Existen cuatro tipos de tokens:
Est´aticos
S´ıncronos basados en tiempo.
S´ıncronos basados en eventos.
As´ıncronos basados en desaf´ıo / respuesta.
131. Seguridad Inform´atica
Introducci´on a la Seguridad Inform´atica
Control de Acceso
Tokens Est´aticos
Requieren de un factor adicional para brindas autenticaci´on,
como una contrase˜na o una caracter´ısticas biom´etrica
La mayor´ıa de estos dispositivos almacenan una clave
criptogr´afica.
Son utilizados principalmente como t´ecnica de identificaci´on
en lugar de autenticaci´on.
Algunos ejemplos son:
Smart card
Dispositivos USB
132. Seguridad Inform´atica
Introducci´on a la Seguridad Inform´atica
Control de Acceso
Tokens S´ıncronos Basados en Tiempo
Las tarjetas y el servidor tienen relojes que miden el tiempo
transcurrido desde la inicializaci´on.
Cada cierto tiempo el n´umero resultante se cifra y se muestra
en la pantalla de la tarjeta; el usuario ingresa su PIN en el
servidor junto con el n´umero que se visualiza en su tarjeta.
Como el servidor conoce el momento de inicializaci´on de la
tarjeta tambi´en puede calcular el tiempo transcurrido, dicho
valor cifrado deber´a coincidir con el introducido por el usuario
para que ´este sea aceptado.
133. Seguridad Inform´atica
Introducci´on a la Seguridad Inform´atica
Control de Acceso
Tokens S´ıncronos Basados en Eventos
Las contrase˜nas se generan debido a la ocurrencia de un
evento, por ejemplo se requiere que el sujeto presione una
tecla en la tarjeta.
Esto causa que la tarjeta y el servidor avancen al pr´oximo
valor de autenticaci´on.
El usuario debe ingresar su PIN en la tarjeta.
A partir del conjunto formado por el PIN y el nuevo valor de
autenticaci´on, se genera una nueva contrase˜na aplicando una
funci´on criptogr´afica (Ej: DES, Hash, etc.) a dicho conjunto,
la que ser´a enviada al servidor para su verificaci´on.
134. Seguridad Inform´atica
Introducci´on a la Seguridad Inform´atica
Control de Acceso
Autorizaci´on
Definici´on
Derechos y permisos otorgados a un individuo (o proceso) que le
permite acceder a un recurso del sistema / computadora.
Ejemplo:
Un usuario puede estar habilitado para imprimir un
documento, pero no puede alterar la cola de impresi´on.
“El proceso de autorizaci´on se realiza una vez que se ha logrado la
identificaci´on y autenticaci´on del usuario.“
135. Seguridad Inform´atica
Introducci´on a la Seguridad Inform´atica
Control de Acceso
Auditor´ıa (Accounting)
Definici´on
Proceso de registrar eventos, errores, accesos e intentos de
autenticaciones en un sistema
Justificaci´on:
Detecci´on de intrusiones
Reconstrucci´on de eventos y condiciones del sistema
Obtener evidencias para acciones legales
Generar reportes de problemas.
El conjunto de acciones a ser auditadas pueden ser:
1 Eventos de sistema
2 Eventos de aplicaciones
3 Eventos de usuario
136. Seguridad Inform´atica
Introducci´on a la Seguridad Inform´atica
Control de Acceso
Pasos para acceder a un objeto (resumen)
1 Identificaci´on → Nombre de usuario
2 Autenticaci´on → Contrase˜na
3 Autorizaci´on → Derechos / Permisos
4 Auditoria → Eventos
137. Seguridad Inform´atica
Introducci´on a la Seguridad Inform´atica
Hackers, crackers y sus variantes
1 Introducci´on a la Seguridad Inform´atica
Conceptos y principios de la administraci´on de la seguridad
Evoluci´on hist´orica de la seguridad
Amenazas a la seguridad
Control de Acceso
Hackers, crackers y sus variantes
138. Seguridad Inform´atica
Introducci´on a la Seguridad Inform´atica
Hackers, crackers y sus variantes
Hacker
Definici´on
1 Tradicionalmente, se dice de quien goza averiguando los
detalles de sistemas de c´omputo y c´omo llevarlos a su l´ımite,
en contraposici´on a la mayor´ıa de los usuarios que prefieren
s´olo aprender lo necesario.6
2 En la actualidad, se dice de quien de forma malintencionada
penetra un sistema inform´atico para obtener alg´un beneficio.
Tambi´en conocidos como crackers.
Motivados por lucro, protesta, o por el desaf´ıo.
6
http://searchsecurity.techtarget.com/definition/hacker
139. Seguridad Inform´atica
Introducci´on a la Seguridad Inform´atica
Hackers, crackers y sus variantes
Nombres comunes para los hackers
Wannabe lamer: “I wanna be a hacker but I can’t ‘hack’ it”
(9-8 a˜nos / Grupo / Usuario Final / Diversi´on)
Script-kiddie: The script kid (10-18 a˜nos / Grupo /
Organizaciones con vulnerabilidad bien conocidas / Fama)
Cracker: The destroyer (17-35 a˜nos / Solo / Empresas /
Fama, Reconocimiento)
Ethical hacker: The Hacker “par excellence” (15-50 a˜nos /
Solo (rara vez en grupo)/ Organizaciones de gran tama˜no /
Curiosidad, Aprender, Mejorar habilidades)
Quiet: Highly specialized hacker, uncommunicative, extremely
paranoid (16-50 a˜nos / Solo / Desconocido / Curiosidad,
Aprender, Egocentrismo)
Profiling Hackers: The Science of Criminal Profiling as Applied to the World of Hacking, p 240
140. Seguridad Inform´atica
Introducci´on a la Seguridad Inform´atica
Hackers, crackers y sus variantes
Nombres comunes para los hackers (2)
Cyber warrior: The mercenary (18-50 a˜nos / Solo /
Organizaciones de prestigio / Lucro)
Industrial spy: The industrial spy (22-50 a˜nos / Solo /
Empresas multinacionales/ Lucro)
Government agent: The government agent (CIA, Mossad,
FBI, etc.) (25-45 a˜nos / Solo o en Grupo / Terroristas,
pr´ofugos, industrias / Actividad profesional)
Military hacker: Recruited to fight “with a computer”(25-45
a˜nos / Solo o en Grupo (rara vez en grupo)/ Gobiernos e
Industria / Actividad profesional y por una causa)
Hacktivista: Idealistas (16-35 a˜nos / Grupo / Gobierno,
Figuras p´ublicas / Desprestigio)
Profiling Hackers: The Science of Criminal Profiling as Applied to the World of Hacking, p 240
141. Seguridad Inform´atica
Introducci´on a la Seguridad Inform´atica
Hackers, crackers y sus variantes
Nombres comunes para los hackers (3)
Black-hats: Muestran sus habilidades en inform´atica
rompiendo sistemas de seguridad de computadoras,
colapsando servidores, entrando a zonas restringidas,
infectando redes o apoder´andose de ellas, entre otras muchas
cosas utilizando sus destrezas en m´etodos hacking.
Grey-hats: Grupo de individuos que en ocasiones penetran
sistema sin permiso y otras con permiso.
White-hats: Se dedican a asegurar y proteger los sistemas de
Tecnolog´ıas de informaci´on y comunicaci´on. Suelen trabajar
para empresas de seguridad inform´atica.
Profiling Hackers: The Science of Criminal Profiling as Applied to the World of Hacking, p 47
142. Seguridad Inform´atica
Introducci´on a la Seguridad Inform´atica
Hackers, crackers y sus variantes
Ataques famosos
1986 Clifford Stoll Rastreo de intrusos que trataban de vio-
lar sistemas de computo de los Labora-
torios Lawrence Berkeley.
1986 Captian Mid-
night
Mensaje satelital enviado a 8 millones
de usuarios de la HBO protestando por
las tarifas que deb´ıan pagar los due˜nos
de antenas parab´olicas.
1988 Robert Morris Gusano que se introdujo en 6,000 equi-
pos de universidades y gobierno.
1988 Virus Viernes 13 infecto cientos de
computadoras borrando informaci´on.
143. Seguridad Inform´atica
Introducci´on a la Seguridad Inform´atica
Hackers, crackers y sus variantes
Ataques famosos
1994 Kevin Mitnick Robo de software y tarjetas de cr´edito
a trav´es de ingenier´ıa social y ataques
IP-Spoofing.
1996 Alteraci´on de la pagina web de la fuerza
a´erea de EUA.
1998 Alteraci´on de la pagina del Departamen-
to de Justicia de EUA.
1998 X-Ploit En M´exico: Secretar´ıa de Hacienda y
Cr´edito P´ublico, INEGI, Secretar´ıa de
Salud, Senado de la Rep´ublica
144. Seguridad Inform´atica
Introducci´on a la Seguridad Inform´atica
Hackers, crackers y sus variantes
Caso Clifford Stoll
Astr´onomo de Berkeley, Stoll tuvo las ideas y la paciencia
necesarias para cazar al cracker del KGB Markus Hess a trav´es de
la red de Hanover en Alemania. Stoll hizo un libro sobre ello, The
Cuckoo’s Egg”; para muchos fue la primera introducci´on seria al
mundo del hacking.
Intrusi´on: Agosto 1986 (LBL).
Detecci´on:
Error de 75c en contabilidad
Creaci´on de una nueva cuenta
“hunter”
Actividad en una cuenta
dormida “sventek”
http://en.wikipedia.org/wiki/Clifford_Stoll
145. Seguridad Inform´atica
Introducci´on a la Seguridad Inform´atica
Hackers, crackers y sus variantes
El gusano de internet
Aparici´on: 02/11/88 (Se reproduce de
m´aquina en m´aquina).
Da˜nos: Carga las m´aquinas, se caen, y niega
el acceso
V´ıctimas: Sun3 y VAX, 6,000 en total.
Vulnerabilidad explotada: rsh, finger y
sendmail.
Responsable: Robert Tappan Morris
Sentencia:
04/05/90
$10,000 multa
3 a˜nos de libertad provisional
400 horas servicio comunitario.
http://es.wikipedia.org/wiki/
Gusano_Morris
146. Seguridad Inform´atica
Introducci´on a la Seguridad Inform´atica
Hackers, crackers y sus variantes
Kevin Mitnick -“Condor”-
http://www.kevinmitnick.com/
Se le considera el padre de los hackers y
fue el primero en aparecer inmortalizado
como hombre m´as buscado por el FBI. Su
historial arranca en los ochenta cuando
robaba manuales de hardware y culmina en
1995 cuando es detenido por el FBI gracias
al contra-hacker Tsutomu Shimomura.
Ataques:
20.000 n´umeros de tarjetas de
cr´edito,
mando central a´ereo,
Centrales telef´onicas en California y
M´oviles de Motorola y Qualcomm.
147. Seguridad Inform´atica
Introducci´on a la Seguridad Inform´atica
Hackers, crackers y sus variantes
Casos en M´exico
1996 Cinvestav, IPN
1998 Secretar´ıa de Hacienda y Cr´edito P´ublico
1998 Comision nacional del Agua
1998 INEGI
1998 Senado de la Rep´ublica
1998 Secretar´ıa de Salud
http://www.noticias.com/articulo/18-09-1998/redaccion/x-plot-grupo-hackers-mexicanos-16fa.html
148. Seguridad Inform´atica
Introducci´on a la Seguridad Inform´atica
Hackers, crackers y sus variantes
”X-Ploit Team”: S´olo queremos que nos escuchen, no
causar da˜nos
La primera irrupci´on de los “X-Ploit” –una traducci´on podr´ıa ser
“los incendiario”– se produjo el 4 de febrero de 1998, cuando
dieron la bienvenida al reci´en designado secretario de Hacienda y
Cr´edito P´ublico, Jos´e Angel Gurr´ıa, quien en su anterior cargo
como canciller hab´ıa afirmado que la de Chiapas era “una guerra
de tinta e Internet”.
La p´agina presentaba varias fotograf´ıas de Emiliano Zapata y la
siguiente leyenda:
“Nuestra afiliaci´on no es ninguna, no pertenecemos al EZLN, pero
´este es nuestro derecho de libre expresi´on como mexicanos.”
http://www.accessmylibrary.com/coms2/summary_0286-31913234_ITM
149. Seguridad Inform´atica
Referencias bibliogr´aficas
Referencias bibliogr´aficas I
C. Wilson.
Computer Attack and Cyberterrorism: Vulnerabilities and
Policy Issues for Congress.
CRS Report for Congress, 2005.
E. Spafford.
Seguridad Pr´actica en Unix e Internet.
W. Preston
Backup & Recovery.
O’Reilly, 2006.
Seguridad Pr´actica en Unix e Internet.
150. Seguridad Inform´atica
Referencias bibliogr´aficas
Referencias bibliogr´aficas II
K. O’Shea
Examining the RPC DCOM Vulnerability: Developing a
Vulnerability-Exploit Cycle.
SANS.
Samuel Greengard
Seis errores de seguridad de TI comunes y m´etodos para
evitarlos
http://www.microsoft.com/business/smb/es-mx/
seguridad/evitar-errores-de-ti-comunes.mspx